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本 书 论 述 了 算法 数论 的 基本 内 容 , 其 中 包括 : 连 分 数 、 代 数 数 
域 . 椭 圆 曲 线 、 素 性 检验 、 大 整数 因子 分 解 算法 、 椭 圆 曲 线 上 的 离散 
对 数 、 超 椭圆 曲线 .本 书 的 特点 是 内 容 涉及 面 广 ,在 有 限 的 篇 幅 内 ， 
包含 了 必要 的 预备 知识 和 数学 证 明 , 尽 可 能 形成 一 个 完整 的 体系 . 
并 且 本 书 的 部 分 内 容 曾 多 次 在 中 国 科学 院 研究 生 院 信息 安全 国家 
重点 实验 室 和 广州 大 学 作为 硕士 研究 生 教材 使 用 . 

本 书 可 作为 信息 安全 、 数 论 等 专业 的 研究 生 教材 及 相关 专业 
的 研究 人 员 高 等 学 校 的 教师 和 高 年 级 学 生 的 参考 . 
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在 21 世纪 器 光 初 露 ， 中 国 科技 、 教 育 面临 重大 改革 和 莲 
勃发 展 之 际 , 《中 国 科学 院 研究 生 教学 丛书 》 一 一 这 套 凝 聂 了 中 
国 科学 院 新 老 科学 家 、 研 究 生 导师 们 多 年 心血 的 研究 生 教 材 面世 
了 ， 相 信 这 套 从 书 的 出 版 ， 会 在 一 定 程度 上 缓解 研究 生 教材 不 足 
的 困难 ， 对 提高 研究 生 教育 质量 起 着 积极 的 推动 作用 . 

21 世纪 将 是 科学 技术 日 新 月 异 ， 迅 猛 发 展 的 新 世纪 ， 科 学 
技术 将 成 为 经 济 发 展 的 最 重要 的 资源 和 不 竟 的 动力 ， 成 为 经 济 和 
社会 发 展 的 首要 推动 力量 ， 世界 各 国之 间 综 合 国力 的 竞争 ， 实 质 
上 是 科技 实力 的 竞争 ， 而 一 个 国家 科技 实力 的 决定 因素 是 它 所 拥 


”有 的 科技 人 才 的 数量 和 质量 . 我 国 要 想 在 21 世纪 顺利 地 实施 


“科教 兴国 ”和 “可 持续 发 展 ” 战 略 ， 实 现 小 平 同 志 规 划 的 第 三 
步 战 略 目 标 一 一 把 我 国 建设 成 中 等 发 达 国 家 ， 关 键 在 于 培养 造就 
一 支 数量 宏大 、 素 质 优良 、 结 构 合 理 ， 有 能 力 参与 国际 竞争 与 合 
作 的 科技 大 军 ， 这 是 摆 在 我 国 高 等 教育 面前 的 一 项 十 分 繁重 而 光 
荣 的 战略 任务 . 

中 国 科学 院 作为 我 国 自然 科学 与 高 新 技术 的 综合 研究 与 发 展 
中 心 ， 在 建 院 之 初 就 明确 了 出 成 果 出 人 才 并 举 的 办 院 宗旨 ， 长 期 
坚持 走 科研 与 教育 相 结合 的 道路 ， 发 挥 了 高 级 科技 专家 多 ， 科 研 
条 件 好 ， 科 研 水 平 高 的 优势 ， 结 合 科研 工作 ， 积 极 培养 研究 生 ; 
在 出 成 果 的 同时 ， 为 国家 培养 了 数 以 万 计 的 研究 生 ， 当前， 中 国 
科学 院 正 在 按照 江泽民 同志 关于 中 国 科学 院 要 努力 建设 好 “三 个 
基地 ”的 指示 ， 在 建设 具有 国际 先进 水 平 的 科学 研究 基地 和 促进 
高 新 技术 产业 发 展 基地 的 同时 ,加 强 研究 生 教 育 ,努力 建设 好 高 级 
人 才 培 养 基地 ,在 肩负 起 发 展 我 国 科 学 技术 及 促进 高 新 技术 产业 
发 展 重任 的 同时 ,为 国家 源源 不 断 地 培养 输送 大 批 高 级 科技 人 才 . 


si 


质量 是 研究 生 教育 的 生命 ， 全 面 提高 研究 生 培养 质量 是 当前 
我 国 研究 生 教育 的 首要 任务 ,研究 生 教材 建设 是 提高 研究 生 培 养 
质量 的 一 项 重要 的 基础 性 工作 .由 于 各 种 原因 ， 目 前 我 国 研究 生 
教材 的 建设 滞后 于 研究 生 教育 的 发 展 . 为 了 改变 这 种 情况 ， 中 国 
科学 院 组 织 了 一 批 在 科学 前 沿 工作 ， 同 时 又 具有 相当 教学 经 验 的 
科学 家 撰写 研究 生 教 材 ， 并 以 专项 资金 资助 优秀 的 研究 生 教 材 的 
出 版 ,希望 通过 数 年 努力 ， 出 版 一 套 面 向 21 世纪 科技 发 展 ， 体 
现 中 国 科学 院 特 色 的 高 水 平 的 研究 生 教学 从 书 ， 本 从 书 内 容 力求 
具有 科学 性 、 系 统 性 和 基础 性 ， 同 时 也 兼顾 前 沿 性 ， 使 阅读 者 不 
仪 能 获得 相关 学 科 的 比较 系统 的 科学 基础 知识 ， 也 能 被 引导 进入 
当代 科学 研究 的 前 治 ， 这 套 研究 生 教学 丛书， 不 仅 适合 于 在 校 研 
究 生 学 习 使 用 ， 也 可 以 作为 高 校 教 师 和 专业 研究 人 员工 作 和 学 习 
的 参考 书 . 

“桃李 不 言 ， 下 自 成 中 .” 我 相信 ， 通 过 中 国 科 学 院 一 批 科学 
家 的 辛勤 耕耘 , 《中 国 科 学 院 研究 生 教 学 丛书 》 将 成 为 我 国 研究 
生 教育 园 地 的 一 从 鲜花 ， 也 将 似 淘 物 春雨 ， 滋 养 苹 荆 学子 的 心 
田 ， 把 他 们 引 向 科学 的 殿堂 ， 不 仅 为 科学 院 ， 也 为 全 国 研 究 生 教 


育 的 发 展 作出 重要 贡献 . 
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算法 数论 是 一 门 对 数论 问题 进行 算法 设计 和 算法 分 析 的 学 
A. 它 的 历史 可 以 追溯 到 古 希 腊 Eratosthenes 氏 短 法 构造 素数 
表 . 但 真正 成 为 一 门 学 科 ， 是 在 20 世纪 中 叶 ， 一 方面 是 由 于 计 
算 机 科学 的 发 展 和 计算 复杂 度 理论 的 建立 ， 为 算法 数论 葛 定 了 理 
论 基础 ; 另 一 方面 是 数论 发 展 的 内 部 推动 力 ， 如 对 数论 中 某 些 问 
A (如 一 些 猜 想 ) 给 出 肯定 与 否 的 回答 过 程 中 ， 收 集 依 据 时 涉及 
到 一 些 大 数据 量 的 实例 验证 ， 而 这 已 经 超出 了 人 们 的 手 算 能 力 ， 
只 能 借助 计算 机 编程 来 完成 ; 更 重要 的 是 由 于 一 些 基于 数论 的 公 
钥 密 码 方案 的 提出 和 对 其 攻击 所 涉及 到 的 一 些 数论 问题 求解 算法 
的 发 现 . 

公 钥 密码 是 在 20 世纪 70 年 代 中 期 提出 的 一 类 新 型 的 密码 ， 
它 尤 其 适合 在 计算 机 网 络 环 境 下 使 用 ， 具 有 加 密 信息 ， 管 理 密 钥 
和 数字 签名 等 功能 ， 能 保证 信息 的 机 密 性 、 完 整 性 和 不 可 否认 
性 .迄今 为 止 ， 所 提出 的 公 钥 密 码 ， 其 安全 性 都 建立 在 某 个 数学 
难题 的 基础 之 上 ， 所 谓 “ 数 学 难题 "， 确 切 地 说 是 求解 这 个 数学 
问题 ， 目 前 还 没有 多 项 式 时 间 的 算法 被 发 现 . 例如 ， 大 整数 因子 
分 解 ， 有 限 域 或 椭 加 曲线 离散 对 数 等 问题 ， 只 要 选择 适当 的 参 
数 ， 在 现 有 的 技术 条 件 下 ， 这 些 问题 都 是 很 难 解决 的 ， 这 就 为 相 
应 的 公 钥 密 码 的 安全 性 奠定 了 基础 、 在 解决 这 些 难 题 方面 所 取得 
的 任何 重大 进展 ， 都 会 对 相应 的 公 钥 密码 的 使 用 产生 巨大 的 影 
响 . 

RSA 公 钥 密码 、ElGamal 公 钥 密码 和 椭圆 曲线 公 钥 密码 是 目 
前 影响 最 大 的 三 类 公 钥 密码 .前 者 是 在 70 年 代 中 叶 提 出 来 的 ， 
它 的 安全 性 依赖 于 大 整数 因子 分 解 的 难度 ， 后 两 者 的 安全 性 分 别 
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信赖 于 计算 有 限 域 离散 对 数 和 椭圆 曲线 离散 对 数 的 难度 ， 椭 贺 曲 
线 公 钥 密 码 是 80 年 代 中 叶 提 出 来 的 ， 由 于 其 自身 具有 一 些 其 它 
公 钥 体制 无 法 比拟 的 优势 ， 近 十 年 来 是 公 钥 密码 研究 的 一 个 十 分 
活跃 的 方向 ， 研 究 所 获得 的 许多 相关 的 椭圆 曲线 的 算法 ， 大 大 丰 
富 了 算法 数论 的 理论 . 

因子 分 解 和 离散 对 数 是 算法 数论 研究 的 两 个 核心 问题 .本 书 
的 主要 内 容 是 介绍 这 两 个 问题 的 基本 理论 ， 及 迄今 为 止 所 提出 的 
主要 算法 的 基本 原理 ， 这 部 分 内 容 包含 在 第 九 至 第 十 一 章 ， 第 九 
章 介 绍 Miller-Rabin 概率 型 素性 检验 方法 ， 以 及 分 别 利用 特征 
和 、 椭 贺 曲 线 的 肯定 型 检验 方法 .第 十 章 重点 介绍 椭圆 有 曲线 因子 
分 解 方法 及 数 域 筛 法 . 第 十 一 章 包 含有 关 有 限 域 及 椭圆 曲线 上 的 
高 散 对 数 的 主要 结果 . 其 余 各 章 ( 除 第 六 章 外 ) 都 是 为 这 最 后 三 
章 作 准 备 的 .第 一 至 第 五 章 介绍 初等 数论 的 有 关 知 识 ， 第 七 章 介 
绍 代数 数论 的 有 关 预 备 知识 ， 第 八 章 介绍 椭圆 曲线 的 有 关 预 备 知 
WR. 第 六 章 介绍 前 五 章 的 初等 数论 知识 在 密码 学 中 的 一 些 应 用 . 
为 了 本 书 的 系统 性 ， 添 加 了 一 个 附录 ， 介绍 了 一 些 代数 和 有 限 域 
的 一 些 算法 . 

本 书 的 选材 是 经 过 精心 考虑 的 ， 内 容 的 涉及 面 很 广 ， 但 在 有 
限 的 篇 辐 内 ， 包 含 了 必要 的 预备 知识 和 数学 证 明 ， 尽 可 能 形成 一 
个 较 完整 的 体系 ， 考 虑 到 信息 安全 专业 的 研究 生 有 来 自 数学 本 科 
和 非 数 学 本 科 两 类 ， 在 利用 本 教材 时 ， 可 以 根据 需要 ， 选 择 不 同 
的 章节 组 成 一 个 学 期 的 教学 ， 对 于 来 自 数学 本 科 的 学 生 ， 前 五 章 
可 以 较 快 地 通过 ， 而 把 重点 放 在 后 面 几 章 . 对 于 来 自 非 数学 本 科 
的 学 生 ， 第 七 至 第 十 一 章 有 关 代 数 数论 和 椭圆 曲线 的 章节 可 以 考 
BEH. 本 书 的 部 分 内 容 曾 多 次 在 中 国 科学 院 研究 生 院 信息 安全 
国家 重点 实验 室 和 广州 大 学 作为 硕士 研究 生 教材 使 用 . 

本 书 的 编写 和 出 版 得 到 国家 自然 科学 基金 跨 学 科 重点 项 目 
“电子 商务 系统 中 的 信息 安全 理论 和 技术 的 研究 ”( 批 准 号 
19931010)， 国 家 “973” 项 目 “ 信 息 与 网 络 安全 体系 结构 ”( 批 
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准 号 G1999035804) 和 “中 国 科学 院 研 究 生 教材 基金 ”的 资助 ， 
特此 感谢 . 
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第 一 章 ”整数 的 因子 分 解 
81.1 唯一 分 解 定理 


数论 是 研究 自然 数 1,2,3,… 的 性 质 的 一 门 数学 分 支 .自然数 
是 人 们 日 常生 活 中 用 得 最 多 的 一 类 数 .在 历史 上 ,人们 很 早 就 开始 
数论 的 研究 ,使 数论 成 为 内 容 十 分 丰富 的 一 个 分 支 .数论 在 信息 安 
全 ,计算 机 科学 ,数字 信号 处 理 等 现代 重要 科技 领域 有 重要 的 应 
用 ,所 以 ,数论 至 今 仍 是 一 门 充满 活力 ,蓬勃 发 展 的 分 支 ， 

通常 ,我 们 用 Z 表示 整数 集合 ,整数 即 为 

0, 土 1, 土 2，…; 
自然 数 就 是 正 整数 . . 
定理 1.1 Ba fob 为 整数 ,b>>0, 则 存在 整数 g 和 +r, 使 
a=qtr, 0Xr<b, 

7 称 为 b Ra 所 得 的 最 小 正 剩余 . 


证 明 以 [入 表示 不 超过 分 数 和 的 最 大 整数 , 则 


0<a- [to <s, 


Bo=[2|,,=a-[4 p mepe. 

2 b Ra 的 最 小 正 剩 余 ” 为 零 时 , 称 b 为 a 的 因子 ,a 为 6 的 
WRN bla. 

E b 为 a WAF ,b41,b64a 这 时 称 b 为 a 的 真 因子 ,显然 有 
0<121<ilal, 这 里 1a | 为 a 的 绝对 值 . 

车 6 夭 0,c 天 0, 显 然 : 

1. A bla, clb, M cla; 

2. & bla, W bclac; 


3. Æ cld, cle, WHER m,n Acldmten. 

自然 数 p( 了 1) , 若 仅 以 1 和 自身 p 为 其 因子 , 称 p 为 素数 . 
非 素数 的 自然 数 n( 取 1) 称 为 复合 数 . 

设 M 为 整数 的 一 个 子 集合 , 它 对 加 ,减法 封闭 , 即 若 m,n € 
M, 则 mm 土 n€ M, 则 M RAK. a 为 任 一 整数 ,a 的 所 有 的 倍数 
就 组 成 一 个 模 . 相反 的 结论 也 成 立 , 即 

定理 1.2 任 一 非 堆 模 , 必 为 一 正 整 数 的 诸 倍数 组 成 的 集合 . 

证 明 设 4 为 该 模 中 最 小 正 整数 , 则 模 中 其 它 数 必 为 d 之 倍 

数 . 若 不 然 , 设 n 为 模 中 4 之 非 倍数 ,由 定理 1.1, 存 在 整数 g 及 
r , ft 
n=qd+rO0<r<d. 
由 于 r= 一 gd 也 属于 此 模 ,这 与 d 为 该 模 中 最 小 正 整数 的 假设 
HFE , 故 模 中 其 它 各 数 都 为 d 的 倍数 . 因 d 在 模 中 ,所 以 a 的 任 
一 倍数 也 在 模 中 .定理 即 证 . 

ft a,b 为 二 整数 ,集合 

{ma+nb\|m,n€Z} 
即 为 一 模 ,此 模 中 最 小 正 整数 d KH a,b 的 最 大 公 因 子 , 记 为 d 
=(a,b). 

由 定理 1.2 的 证 明 ,不 难 证 得 下 述 定理 : 

定理 1.3 (a,65) 具 有 下 述 性 质 : 

1. 有 整数 ,yy, 使 (a ,6b)=azx+by. 

2. 对 任 二 整数 r, y, KA (a,b)laxt by. 

3. Bcla,clb,Mcl (a,b). 

由 于 3, 我 们 也 称 (a ,5) 为 a,b 的 最 大 公 因 子 . 

定理 1.4 Rp ARKH pad, A pla RXplo. 

证 明 者 pha, 则 (a,p)=1, 由 定理 1.3, 知 有 二 整数 x,y, 


art+py=1, 
所 以 
abx + pw = b. 


由 于 plab, TA p16, 证 毕 . 

定理 1.5( 唯 一 分 解 定理 ) 任 一 自然 数 n 党 可 唯一 地 表 为 素 
数 之 积 . 

n = pi py pe. (1.1) 

KE, plp pr 为 素数 ,a1,42,…,ax 为 自然 数 ， 

证 明 .我 们 首先 证 明 n 可 以 表 为 素数 之 积 ,然后 再 证 明 上 述 
表 法 唯一 . 
若 ”为 素数 ,定理 显然 成 立 . 当 不 是 素数 时 , 设 pi Æ n 的 
最 小 的 真 因子 , 则 pi 一 定 是 素数 , 因 pi 的 真 因子 也 是 n HAA 
子 ,所 以 pi 不 能 有 真 因子 . 设 2= pn (<n <n), Stn, 重复 上 
述 推理 ,得 n= pi prn2, p2 为 素数 ,1< n< ny WITE, GB n> 
ny > n> >1, 此 项 手续 ,最 多 不 能 超过 ”次 ,最 后 必得 ， 

. n = pipz" Pis 

也 可 排 为 (1.1) 中 的 形式 . 

今 设 
n = ppop = dida 
为 的 二 个 分 解 式 , pi < <<… < pi,g1< gs<…<g 都 为 素 
数 ,利用 定理 1.4, 任 一 p; 必 为 某 一 gj , 任 一 q 也 必 为 某 一 p;, 故 
k=1,p;=q,1Si<k), MF ay >b,, W 

BY PEPE = Bee 

左边 为 pi 的 倍数 ,右边 不 是 pi 的 倍数 ,这 是 不 可 能 的 ,同样 ci< 
bi 也 不 可 能 , 故 ai = 六 .类 似 地 ,可 证 得 a; = 6,(i=1,2,… k) ME 
一 性 得 证 . 

给 定 一 自然 数 ” , 当 它 很 大 时 ,例如 一 百 多 位 的 十 进 制 数 ,要 
将 它 因子 分 解 , 实 非 易 事 .在 第 十 章 将 讨论 一 些 大 整数 因子 分 解 的 
算法 , 随 之 而 来 的 一 个 问题 是 如 何 判断 一 个 数 是 否 是 素数 ,在 第 九 
章 将 讨论 几 个 素性 判断 的 方法 . 


bi 
l 
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# a,b 为 二 自然 数 ,a 之 65, 以 (a,5) 表 示 a Mo 的 最 大 公 因 
子 .由 定理 1.3 知 有 二 整数 xz,y, 使 
(a,b) = ax + by. 
如 何 计算 (a ,5), 又 如 何 找到 上 述 x 和 y, 定 理 1.1 实际 上 已 经 给 
出 了 我 们 所 要 的 算法 . 
HAH b Ra BE qo RM ro, 即 
a=qbtro, 0ro<b. (1.2) 
如 果 ro=0, 那 么 5 是 a 的 因子 ,a,2 的 最 大 公 因 子 就 是 2. 如 果 
r0 天 0, 用 ro 除 5 得 到 商 ai, 余数 r 
i b= grotri, OSr< ro. (1.3) 
如 果 ri =0, 那 么 ro 除 尽 8, 由 (1.2)7ro BRA a, ro Æa, b 的 公 
因子 .反之 ,任何 一 个 除 尽 a ,65 的 数 ,由 (1.2) ,也 除 尽 ro, 因 此 ro 
是 a,b 的 最 大 公 因 子 .如 果 r10, UAE ri 除 ro 得 到 商 qz ,余数 
r2 
ro= qarit+r2, Snr. (1.4) 
如 果 rs=0, 那 么 由 (1.3) 可 知 ri 是 ro,8 的 公 因子 ,由 (1.2) 知 ri 
也 是 a,b 的 公 因 子 . 反 之 ,如 果 一 整数 除 得 尽 a,5, 那 么 由 (1.2)， 
它 一 定 除 得 尽 ro, 由 (1.3), 它 一 定 除 得 尽 ~ ,所 以 ri: 是 a,2 的 最 
大 公 因 子 . 

若 r2 关 0, 再 用 r 除 1, 重复 上 述 过 程 ,依次 得 到 b>>ro> rl 
>rz>>…, 逐 步 小 下 来 ,而 又 都 非 负 . 经 过 有 限 步 后 ,一 定 会 有 某 个 
r 为 零 . 若 设 r, 是 第 一 个 出 现 的 零 , 则 r- RE a,b 的 最 大 公 因 
子 .我 们 所 得 到 的 一 串 算 式 : 

a =qob + ro, 
b =qiro + ri, 


ro 三 Q271 + r2, 


rı = q3r2 + 73, 


rn-3 = Qn-1fn-2 + fn-1> 
Tn-2 T Qnln-1- 
由 第 一 式 可 得 
ro = a- qob, 
由 第 二 式 可 得 
rı =b- giro =- qa + 1+ goad, 
— Ath SAE r0 Sn - 1) ,都 有 二 整数 c, y; ,使 


r; 三 xa t yb, 


由 于 
= 11-2 diri-l 
= (aj-24 + yi-2b) — q;( 2-14 + yib) 
= (zi-2 — g:x;-1)a +( -2 一 qyi-1)b, 
所 以 ,有 递 推 公式 
zo =I, 1 ~~ Qs Ti = Xj-2~ diti-1s 


yo =- Go. yı = 14+ gogi; Yi = Yi-27 Wi-1- 
这 样 ,我 们 可 以 找到 二 整数 x,y, 使 
(a,b) = ax + by. 
看 一 个 例子 : 求 4862 和 2156 的 最 大 公 因 子 . 我 们 有 
4862 =2 X 2156 + 550, 
2156 =3 X 550 + 506, 
550 =506 + 44, 
506 =11 x 44 + 22, 
44 =2 x 22. 
AJ FL (4862, 2156) = 22 ,利用 上 述 算式 可 得 
550 = 4862 — 2 x 2156, 
506 = — 3 x 4862 + 7 x 2156, 
44 = 4 x 4862 - 9 x 2156, 


22 = - 47 x 4862 + 106 x 2156. 

我 们 称 上 述 求 a,b WMRKAAFHRERARRARE, R 
Euclid 除法 . 

考虑 轧 转 相 除 法 所 需 的 比特 计算 量 . 仍 设 ob. Ha 和 2 用 

二 进 制 表示 的 长 度 分 别 为 & 和 7 , 则 loga +1,7 志 log25 +1. 用 

b Ra 得 到 商 和 余数 ,这 个 带 余 除法 所 需 的 比特 计算 量 为 O(&i) 

(这 里 Ok) RRAS: k 的 量 ,其 中 < 为 一 个 不 依赖 & 和 1 的 

常数 ) ,也 可 表 为 O(lga ) .我 们 还 需要 知道 带 余 除法 要 做 多 少 次 . 


我 们 有 rna<ir 
首先 来 证 明 这 个 论断 . 若 Pi< 寺 一, 则 ma<r Gari 


即 证 . 若 rd 1 , 则 Era tr RA ra<or 
以 上 论断 表示 , 做 两 次 带 余 除法 可 将 余数 缩小 一 半 . 要 得 到 
(a ,0) ,所 要 做 的 带 余 除法 的 次 数 不 会 超过 2[logza] = O(lga )， 
因而 轰 转 相 除法 所 需 的 比特 计算 量 为 
O(lg’a) x O(lga) = Olga). 

给 定 自然 数 < ,5 , 若 已 知 它们 的 因子 分 解 

a= pipe ba 20 ISi<s). 

b = pt,B 0 <i<s). 
则 

(a,b) = prev Fy) penton Be), miala A) ， 
车 以 [a ,5] 表 示 a,b 的 最 小 公 倍 数 ( 即 [a ,0] 是 a 和 2 的 倍数 ,有 
任 一 a 和 6 的 公 倍数 都 是 [a ,5] 的 倍数 ) , 则 

la, b] = 一 preva BD power» h), e pray 8) 
易 见 

(a,6)[a,b] =a-b. ` 
对 于 多 个 自然 数 at,az,…,ax, 也 可 以 定义 它们 的 最 大 公 因 子 和 
最 小 公 倍数 . . 
. 6 ry 


$1.3 Mersenne 素数 和 Fermat 素数 


n 为 一 自然 数 ,以 o(n) 表 示 n 的 所 有 因子 之 和 . 


定理 1.6 #n=p opr, A 
(ny 2 PE 1 
one 5 pi1—1 p;—1 
证 明 n 的 因子 形 如 


x x 
prep, Ozan 0S r S a, 


定义 1.1 $n MARTZ EFT 2n, oln)=2n, A] n 
称 为 完全 数 . 

例题 o(6)=1+2+3+6=2x6,c(28)=1+2+4+7+14 
+28=2X28. 

定理 1.7 8 p=2"7-1 为 素数 , 则 


Fp +1) = 2"-1(2" — 1) 
为 偶 完全 数 , 且 无 其 它 偶 完全 数 存 在 . 
证 明 由 定理 1.6 知 
n 2 _ 
o(5 Pp + 1))= ol 1 i 一 7 = p(pt+1) 
Be 27-1 (2" 一 1 为 完全 数 . 
# a 为 一 偶 完全 数 , 令 


a=2"™ un >1, 2fu 


则 
2” -1 
2"u = 2a = ola) = al » a(n) 
故 | 
olu) = outta 


可 见 2" — Lusu Bit 一 [都 是 " 的 因子 ,但 o(w) 是 u 的 所 有 因 
FZP, E u AME, 即 u 为 素数 , 且 
4 =] 
2” -1 

所 以 a =2"-'(2"-1), TE. 

是 否 有 奇 完全 数 存 在 ， 这 是 至 今 尚未 解决 的 数论 难题 偶 完 全 
数 的 问题 化 为 形 如 2* - 1 的 素数 的 问题 . 

定理 1.8 若 n>1, 且 a” 一 1 为 素数 , 则 a=2,n 为 素数 . 

证 明 若 a>2, 则 (a 一 1)[a” 一 1, 故 a” 一 1 非 素数 . 

车 a=2, 而 n= 刀 , 则 (2* 一 1)12* 一 1, 故 a” 一 1 非 素数 .证 毕 

整数 M, =2" -1 称 为 第 ”个 Mersenne 数 , 当 p HRR, M, 
=2?-1 为 素数 时 , M, 称 为 Mersenne RR. 至 今 已 知道 有 29 个 
Mersenne 素数 ,所 对 应 的 29 + p WH 

2 3 5 7 13 17 19 31 

61 89 107 127 521 607 1279 2203 

2281 3217 4253 4423 9689 9941 11213 19937 

21701 23209 44497 86243 132049 

第 25 和 26 Mersenne 素数 Mo1791 和 M23z09 分 别 在 1978 和 
1979 年 由 中 学 生发 现 的 ,第 29 个 Mersenne 素数 Mi 32049 是 在 
1983 年 找到 的 , 它 有 39751 位 .至今 尚 不 知道 是 否 有 无 穷 个 
Mersenne 素数 存在 . 

定理 1.9 车 2m+1 为 素数 , 则 m=2". 

R 车 mx 有 一 个 奇 因子 g, 命 m= gr, 则 

“Be 


27 +1 = (2") +1= (2 +1) (205P 一 … +1), 

m 1<27+1<27 +1, 8 27+ 1 ERR. HEH 

ft F, =22 +1, 8620 Fermat 数 ,最 前 五 个 Fermat 数 

Fo=3 F,=5 FP =17 F3 = 257 Fy = 65537 
都 是 素数 , 据 此 ,Fermat AM ALF, FARM, (A Euler 于 1732 年 
举 出 

Fs = 2 +1 = 641 x 6700417 
故 Fermat 猜想 并 不 正确 , 现 已 证 明 

n = 6,7,8,9,11,12,18,23,36,38,73 

F, 皆 非 素数 .因此 有 人 推测 仅 存在 有 限 个 Fermat 素数 . 

1990 年 几 百 名 研究 人 员 利 用 联网 的 1000 多 台 计 算 机 ,运行 
六 个 星期 ,将 Fo 分 解 为 7 位 ,49 位 ,99 位 三 个 素数 之 积 , Fe 有 
155 位 ,此 项 成 果 被 列 为 1990 年 世界 十 大 科技 成 果 之 一 . 


$1.4 整 系数 多 项 式 


以 Q 表示 全 体 有 理 数 | 六 |a ,5EZ ,6b 取 0| 集 合 ,Q[z] 表 示 全 
体 有 理 系数 多 项 式 集合 . Q [xz] 与 Z 有 很 多 相似 的 性 质 .Q [z] 对 
加 法 ,减法 ,乘法 是 封闭 的 ,关于 除法 ,类 似 于 定理 1.1, 有 

定理 1.10 设 f(x),g(zx)EQ[z], 则 有 q(xz),r(x)E 
Q [zj] 使 

f(x) = q(x)g(x) +r(z), 

r(x)=0 X r(x)40, 8 degr(x)<degg(x). 

当 r(z)=0 时 , 称 g(z) 能 除 尽 f(x), 记 为 g(x)| f(x)， 
sg(Z) 称 为 F(z) 的 因子 . 

RM 为 Q [zj] 中 一 子 集 , 若 它 具 有 下 述 人 性 质 ; 

1. & f(x),e(2)€ M, 则 f(x)-g(x)EM; 

2. 若 f(z)EM, 对 任 一 gq(z)EQ[zx], 有 g(x)f(x)EM; 
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则 称 M 为 一 理想 . 

Q[z1 中 任 一 多 项 式 六 z) 与 QLzj] 中 所 有 多 项 式 的 乘积 组 成 
的 集合 是 一 个 理想 , 称 为 主 理想 ,以 ( 亡 表 示 . 反 之 ,类 似 于 定理 
1.2, 我 们 有 

定理 1.11 Q[xz] 中 任 一 理想 都 是 主 理想 . 

证 明 设 MCQ[z] 为 一 理想 ,d(xz) 为 M 中 次 数 最 低 的 多 
项 式 . 若 M 中 有 一 多 项 式 g(z),d(z) 不 是 g(z) 的 因子 , 则 由 定 
理 1.10 知 ,有 二 多 项 式 g(z),r(z) 尖 0, 使 

g(x) = g(x)d(z)+r(r), degr(z)< degd(z) 
由 于 r(z)=g(z)-g(z)d(z), 所 以 r(z)EAM, 这 与 d(z) 是 
M 中 次 数 最 低 的 多 项 式 矛 盾 , 故 M = (qd ) ,定理 成 立 . 

定理 1.11 的 证 明 与 定理 1.2 的 证 明 是 完全 类 似 的 ,Q [z] 中 
多 项 式 次 数 起 了 Z 中 的 绝对 值 的 作用 . 

利用 定理 1.10 也 可 有 轧 转 相 除法 计算 两 个 多 项 式 的 最 大 公 
Ay. 

类 似 于 定理 1.5, 也 可 证 明 Q [zx] 上 有 唯一 因子 分 解 定理 . 
Q [zj] 中 的 不 可 约 多 项 式 类 似 于 Z 中 的 素数 . p(z) 称 为 不 可 约 多 
项 式 , 若 g(z)12(z), 则 q(xz) 为 常数 或 为 p(xz) 乘 一 常数 . 

考虑 整 系数 多 项 式 的 因子 分 解 . 

定理 1.12 命 g(Zz) 及 户 ( 工 ) 为 二 整 系数 多 项 式 : 

g(x) = a +++ + aga 40, 
h(x) = bpr” + + bo, bm KO 


B(L)ACZ) = Chem! ™ + + co. 
RJ 
(ar, sao) (bms, bo) = Ccm, c0). 
证 明 不 失 一 般 性 ,可 假定 (ar a0) =1, bm, bo) =1, 
若 考 虑 数 £1 (C14 ms Co) 
p | (aan+l)， 坊 fa ， 
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p (Big ott? Oust)» PY by » 
由 定义 可 得 
Cute T 5 abı, 


stt= ptv 


其 中 , 除 a,b, Th, BA p 之 倍数 . 因 pabo E Pl ey+y» Ae 
PMC cism: C0)» 与 假设 矛盾 BL C14 m0? Co) =1, 证 毕 . 
定理 1.13(Gauss)j 命 f(z) 为 一 整 系数 多 项 式 , 若 
f(a) = g(x)h(z), 
这 里 g(x) hr) A-ABRKZRA, MA-ABKr ,使 


r- g(x), h(a) 


都 为 整 系数 多 项 式 . 
证 明 可 假定 f(xz) 的 系数 的 最 大 公 因子 是 1, 有 二 整数 M 
及 N 使 7 
Mg(x) =a +… + ao, a; 为 整数 ， 
Nh(x) = Opt” + + bo 18 bi 为 整数 ， 
MNF (x) = ciem” + + cos 
由 假定 及 定理 1.12, AY 
MN = (com yc0) = (ar,a) . (8m 9°77, 89)» 
令 
_ M _ (bms, bo) 
= (a;5°**,a) 一 N ? 
则 reg(z) 和 h(xz) 蕴 有 整 系数 ,证 毕 . 
定理 1.13 是 说 , 整 系数 多 项 式 在 有 理 数 域 上 可 分 解 当 且 仅 当 
在 整数 环 上 可 分 解 . 
定理 1.14(Eisenstein 定理 ) 命 
F(a) = cyt” +0 + co 
为 一 整 系数 多 项 式 , 若 ple, ple O<i<n),B p*heo, WM f(x) 
不 可 约 . 


r 
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证 明 假定 F(z) 可 约 ,由 定理 1.13 可 知 
f(z) = g(x)h(z), g(x) = ag + + ap, 
h(x) = bp” ++ bo, i+m=n,l>0,m >0, 
a; Mb, 均 为 整数 ,由 co= aobo 及 pleo, TA plao I p| bo, i 
plao, WH p° ¥Yaobo= co, 可 得 plbo. 
又 g(x) 的 系数 不 能 都 为 p 之 倍数 , 因 若 不 然 , 则 plc, BOT 
假定 
P| (ao ,arpbfa,1 委 </. 
由 
cr = abo +++ + agb,, 
A prce, A rSn, SREF ER. 
由 定理 1.14 可 得 
1. z” -p EZ EATS; 
.2. E sati EZ 上 不 可 约 . 


证 了 明 命 z=y+1, 则 上 式 变 为 
1 1) =. - P\ p34 0. 
y by + 1)? D = Pts py a (Ply +p, 


除 第 一 个 系数 之 外 ,其 它 系数 都 是 p 的 倍数 ,而 常数 项 不 是 p? 的 
倍数 . 


$1.5 环 Z [i] 和 Z[w] 


设 R 为 一 个 环 ,车 存在 R 的 非 零 元 素 集合 到 集合 10,1,2， 
…| 的 一 个 映射 4, 它 具有 下 述 性 质 :对 任意 a,bER,b#0, FE 
c,dER, {Ë a=cb+d, d RHR, RAld)<A), RATE R H 
欧 氏 环 . 

整数 环 Z 是 欧 氏 环 ,其 上 的 绝对 值 就 可 作为 A 函数 ,多项式 环 
Qfzj] 也 是 欧 氏 环 , 多 项 式 的 次 数 可 作为 a 函数 . 

定理 1.15 KKK R 中 任 一 理想 都 是 主 理想 . 
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证 明 EM AR 的 一 个 理想 ,考虑 非 负 整数 集合 {4(5)16 
EM,5b 关 01, 它 一 定 有 一 个 最 小 数 , 即 存 在 a€E M, 使 4(a) 夺 
a(b), bE M ,我 们 可 以 证 明 M = Ra. 因 对 任 一 bE M ,存在 c， 
dE€R, 使 6= ca +d,a RAS, MA A(d)<A(a). HF d=b- 
ca EM, 所 以 不 能 有 4(4d)<<4(a), 因 而 一 定 有 d=0, 则 5ER。 
a, HE, 

可 以 证 明 ,在 任 一 主 理想 环 中 ,唯一 因子 分 解 定理 都 成 立 ， 

我 们 再 给 出 两 个 欧 氏 环 的 例子 . 

令 阅 = 一 1, 定 义 Z [= a + bila,bEZ}.Z [i 在 加 法 ,减法 
和 乘法 之 下 是 封闭 的 ,成 为 一 个 环 ,在 Z [i] 上 定义 函数 4:A(a+ 
bi)=a? +b, BR: 

à (a + bi) = (a + bi)(a — bì), 
A((a + bi)(c + di)) = Ala + bi)al(c + di). 
Ba=atbi,y=c+ diX0, Wl 
_ fat bie - di) _ 


2 +a =rtsi, 
rs WABI mn CZ 使 | 训令 
=m+ni,op=a- ody, WA p 关 0 时 ,有 
A(p) =A(a ~ 67) = A(y(a/y - 8)) 
=A(y) + Ala/y ~ 8) = A(Y)(r - m} + (s — n)?) 
(144 + 1/4)A(y) < à (7). 
由 此 可 见 ,Z i] AR 


$= TLS, 为 三 次 本 原 根 , 即 w 是 方程 22+z+1 


=0 的 根 ,定义 Z [w]= lat bola,b€Z},Z [lw | RTH, E 
ZLw] 上 引进 函数 4: 
A(a + bw) =(a + bw)(a + bw?) 
=a? + b? + ablw + w) = a? -ab + b? 


我 们 亦 有 A(a)=aa. 


设 «EZ [0], 640,04 = 28 = rt sw,r,s 为 有 理 数 , 取 


W 
TW 


+13. 


m,n€Z,tilr-m|<12,|s-n|<12,4 r=m + nw, Mj 
1,1,1 
AF -Tr mr ms nt(s nPop t+ 


<1 因而 取 p =a-7B, 则 p=0, 或 4(p)=4(B)4(g -7)< 
Y(R) TIRE lo EKRA. 
习题 一 


1.1 设 (wu,v)=1, 试 证 :(u+v,u 一 v)=1 或 2. 

1.2 n 为 任 一 自然 数 , 试 证 ;30|n5 一 及 42|n n. 

1.3 ”以 ordpa 表示 a 的 因子 分 解 式 中 所 售 p HFR. BIE: 

ordp(a + b)2min(ord,a, ord, b), H™4 ordpa 关 ordpb 时 ,等 号 成 立 . 

1.4 ”证 明 以 下 各 数 不 是 有 理 数 : 

logi02 ,2,Ym(m 不 是 一 个 整数 的 = UGE). 

1.5 ”假定 素数 只 有 有 限 个 , 记 为 p1, p2，…, Pp WE: p1p2… pa t1 È 
素数 ,因此 素数 有 无 穷 多 个 . 

1.6 Wn>2, WERE nMn! 之 间 一 定 有 一 个 素数 ,由 此 也 能 推出 素 
数 有 无 穷 多 个 ， 

1.7 Bn>0,,F,=27 +1, mAn .证 明 : 若 4L>1, 且 < , 则 
4 了 F。 由 此 推出 素数 有 无 穷 多 个 . 

1.8 ” 设 整 系数 多 项 式 P(z) =2"+a,-,2" ! +--+ ag, 0940. HEM: 
车 P(z) 有 有 理 根 , 则 zo UBER, H zolao. 

1.9 证 明 所 有 形 如 22- 1(z 为 素数 ) 的 Mersenne 整数 都 是 两 两 互 素 
的 . 

1.10 Ra 和 6 为 整数 ,a>6,(a,5b)=1. 证 明 : 

(gm 一 b” a" - $) = an) — pnn), 
1.11 证 明 下 列 多 项 式 在 整数 环 上 不 可 分 解 ， 
xt, zi+1, 2844341, 

1.12 定义 Z[V -2]= {atbV-2 |a,6bEZ1, 试 证 Z[V 2] 成 一 
环 .在 Z [VY -2] 上 引入 函数 :4(a+b VV-2) = a? + 262, A A RE 
Ziv -2] 成 一 欧 氏 环 . . 

1.13 Rp PRR WR <n p, 
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ord,(n!) = [2 ]+ Fa e+ [2]. 

1.14 H Z[i] 中 的 元 素 a BBM AM Yeo =1, HIRE Zi] 
Mn gst BMWA +1, +i. 

1.15 ”证 明 在 环 Z [i] 中 ,1+i 是 不 可 约 元 , 试 求 2 的 分 解 式 . 

1.16 证明 Z [w] 中 的 元 罕 a 是 可 逆 元 当 且 仅 当 a'a=1, 由 此 推出 
Zilol PRAM CAAMA +1, tw, tw. 

1.17 证明 在 Z[w]j 中 ,3 被 (1- w) 整除 , 试 求 3 的 分 解 式 . 

1.18 “用 欧 几 里 得 驾 转 相 除 法 , 求 (2108,3720 ,2046)， 


，1S ， 


第 二 章 同 FH 
$2.1 孙子 定理 


我 国 古 代 的 一 部 优秀 数学 著作 《孙子 算 经 》 中 ,有 “ 物 不 知 其 
数 "一 问 ， 

“ 今 有 物 不 知 其 数 ,三 三 数 之 剩 二 ,五 五 数 之 剩 三 ,七 七 数 之 剩 - 
二 , 问 物 几何 ”. 

这 个 问题 的 意思 可 以 表达 如 下 :譬如 ,有 一 把 围棋 子 ,三 个 三 
个 地 数 ,最 后 余下 两 个 ,五 个 五 个 地 数 ， 最 后 余下 三 个 ， 七 个 七 个 地 
数 ,最 后 余下 两 个 , 问 这 把 棋子 有 多 少 个 ? 

在 程 大 位 著 的 《算法 统 要 》(1593 年 ) 中 ,用 四 句 诗 给 出 了 上 述 
问题 的 解法 : 

三 人 同行 七 十 稀 ， 五 树 梅 花 廿 一 枝 ， 
七 子 团圆 正月 半 ， KARKEA. 

它 的 意思 是 说 ,所 求 之 数 除 以 3 所 得 的 余数 乘 70, 除 以 5 所 
得 的 余数 乘 21, 除 以 7 所 得 的 余数 乘 15 ,然后 总 加 起 来 ,如 果 它 大 
于 105, 则 减 去 105 ,还 大 再 减 去 ,最 后 得 出 的 正 整数 就 是 答 数 了 . 

所 以 以 上 孙子 算 经 上 的 问题 的 解答 ,可 以 这 样 来 算 ， 

2x70+3x21+2x15= 233, 

减 去 两 个 105 ,得 23 ,这 就 是 答 数 了 . 
为 什么 70,21 和 15 有 此 妙用 ? 先 来 看 看 70,21,15 的 性 质 ， 

70 是 这 样 一 个 整数 :用 3. 除 余 1,5 与 7 都 除 得 尽 的 数 ,所 以 700 
是 3 除 余 a,5 与 7 除 尽 的 数 ;21 是 5 除 余 1,3 与 7 除 得 尽 的 数 ， 
所 以 212 是 5 除 余 5b, 而 3 与 7 除 得 尽 的 数 ;同样 ,15c 是 7 除 余 
c, 而 5 与 3 除 得 尽 的 数 .总 起 来 正 整数 

70a +21b+15¢ 
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是 3 除 余 a SRR 5,7 RAR c 的 数 ,也 就 是 可 能 的 解答 数 ,但 不 
一 定 是 最 小 的 ,这 数 加 减 105 仍然 有 同样 性 质 , 因 105 是 3,5,7 的 
最 小 公 倍 数 , 所 以 可 以 多 次 减 去 105 得 出 最 小 的 正 整数 解答 来 . 

以 上 算法 称 为 孙子 定理 ,在 外 国文 献上 也 称 为 中 国 剩余 定理 ， 
这 个 方法 不 但 在 古代 数学 史上 占有 地 位 ,而 且 这 个 算法 的 原则 在 
近代 数学 上 还 常 被 采用 .在 以 上 的 问题 中 ,我 们 遇 到 的 是 3 除 ,5 
除 ,7 除 ,如果 用 别 的 数 代替 3,5,7, 能 否 有 同样 类 似 的 解法 ? 这 里 
就 要 研究 同 余 式 的 理论 了 . 

设 ”为 自然 数 ,a ,2 为 任意 两 个 整数 , 若 a -5 能 被 n RR, 
则 称 a 5b 模 ” 同 余 , 记 为 

a = b(mod n). 

换 名 话说 ,这 时 n Ra 所 得 的 余数 与 n 除 所 得 的 余数 相同 . 

用 同 余 式 表示 “ 物 不 知 其 数 ” 问 题 ,就 是 要 求 一 个 (最 小 的 ) 正 
整数 zx, 使 


x=3 (mod5), 
x=2 (mod 7). 
这 是 一 个 解 同 余 方 程 组 的 问题 . 关于 这 一 类 同 余 方程 组 ,我 们 有 如 
下 的 定理 ， 
定理 2.1 命 m 为 m1,m 的 最 小 公 倍数 , 同 余 方程 组 
x =a,(mod mı), (2.1) 
x =a7(mod m2) (2.2) 
有 解 的 充分 必要 条 件 是 (meal,zzaz)|ai 一 42， 如 果 这 条 件 成 立 , 则 方 
程 组 有 且 仅 有 一 个 小 于 m 的 非 负 整数 解 ， 
WEAR (1) 命 (m1,m2)=c, 由 (2.1) 与 (2.2) 立 得 
Xal(modc), z = a (mod c), 
故 ai ~ a:=0 (mod c), 因 此 如 果 (2. 1),(2.2) 有 公 解 , 则 clai- 


a2. 


fes (mod 3), 


(RZ, clai- a, H (2.1) 
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xr=aytmyy, (2.3) 


代入 (2.2) 得 
ai +t miy = Qa2+ m2z, 
Bp 
aya m m 
aa ma, may, (2.4) 
HF (m1/c,mz/c)=1 ee 可 以 找到 整数 p,q, 1E 
eee tah 


W z= plai- az)/c,y= qla- a2) /c, (2.4) RRA, (2.1) 
与 (2.2) 也 就 有 公 解 al + m1y = az + mz. 
(3) 如 果 (2.1),(2.2) 有 两 个 解 , 即 除 z 之 外 ,还 有 x’ , 则 
x — x =0 (mod m,),x — x’ =0 (mod m2), 
FA m| z- zr, AME 0 与 m-1 ZA BRA 一 个 r 适合 
(2.1),(2.2), 定 理 证 毕 . 

当 mi 与 m 互 素 时 ,定理 2.1 的 条 件 肯定 满足 ,这 时 (2.1)， 
(2.2) 一 定 有 和 解 .利用 数学 归纳 法 ,可 以 把 这 个 结果 推广 到 更 一 般 
的 情况 : 设 mima, ,mi 两 两 互 素 , 则 下 面 同 余 方程 组 ， 

Xx =a,(mod mı), 


x =az(mod m3), 


x =a,(mod m,), 
在 0 委 z<M= mm)": m, 内 有 唯一 的 解 . 记 M; = M/m; AXi 
<k), ACM; m;) = 1, BAR BR pi, q ,使 
Mipi + mq; = 1. 
记 e; = Mp; , AT IL 
e; =0 (mod m;) (j Æi), e; =1 (mod m,) 
所 以 
e1đ1 + ezaz 十 + ea, 
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是 上 述 同 余 方程 组 的 解 ,加 减 M 的 倍数 后 ,就 可 得 到 最 小 非 负 整 
数 解 . 


$2.2 剩余 类 环 


定理 2.2 1.a=a (mod m)( 反 身 性 ); 

2. # a=b (mod m), 32] b=a (mod m )( 对 称 性 ); 

3. # a=6b,b=c (mod m), N] a=c (mod m)( 传 递 性 ). 

称 具 有 以 上 三 条 性 质 的 关系 为 等 价 关 系 . 

以 上 三 条 性 质 , 将 整数 分 成 了 m 个 类 ,每 一 类 由 互相 同 余 的 
数组 成 ,m 个 类 分 别 对 应 的 余数 为 0,1,2,…，,m 一 1, 任 两 个 类 不 
能 有 公共 元 , 称 这 些 类 为 剩余 类 . 

定理 2.3 车 a=a,,b=b,(mod m), 则 

at b=a,+ bia — b= a -bi ab abi(mod m). 

证 明 很 容易 ,以 最 后 一 式 为 例 : 

m | alb — b) + bla — a) = ab -aibi. 

上 述 定理 也 可 改 述 如 下 : 任 给 二 剩余 类 A ,B, 其 中 各 取 一 代 
表 元 a 及 4 , 命 a+ 5b( 或 a 一 5,ab) 所 代表 之 类 为 C, 则 C 仅 与 A， 
B 有 关 , 而 与 所 取 的 代表 元 无 关 . 可 将 C 表 为 A4+B( 或 A4-B， 
AB). 可 见 剩余 类 所 成 的 集合 可 以 定义 加 法 ,减法 和 乘法 ,但 一 般 
地 说 ,没有 除法 ,例如 3.2 三 1-2= 2 (mod 4) ,但 3 关 1 (mod 4). 

定理 2.4 ¥ ac=bd,c=d (mod m) 及 (c,m)=1, 则 a=b 
(mod m). 

证 明 由 

(a — b)c + b(c ~ d) = ac — bd =0 (mod m), 
可 得 
mi(a-b)c, 
但 (m,c)=1, 故 得 m|a 一 5b, 证 毕 . 
以 O 表示 m 的 倍数 组 成 的 类 , 易 知 
A+tO=A, A:O=O. 


LL IRRA m 除 余 1 的 数组 成 的 类 , 易 见 
A-I=A, 
但 由 
A.B=A:C 
不 一 定 能 得 到 B= C, 当 A 中 的 数 与 互 素 (A 中 若 有 一 个 数 与 
m 互 素 , 则 其 余 各 数 都 与 m ER), MAES B= C. 

模 m Wm 个 剩余 类 组 成 一 个 环 , 记 为 Z (im), 4 m= p H 
素数 时 ,Z A(p) 对 加 减 乘 除 都 封闭 (做 除法 时 ,不 能 用 O 去 除 ) ,成 
为 一 个 域 , 它 含 p 个 元 素 . 

当 ”与 mm 互 素 时 ,存在 二 整数 x,y, 使 

nx+my 三 工 . 
这 时 ,nz 三 1 (mod m), n 所 在 的 剩余 类 在 Z Am) PRM x. 
ER m 的 各 剩余 类 中 取 一 代表 元 al ,as,…,a, 称 为 m 的 一 个 
完全 剩余 系 . 

我 们 给 出 一 个 应 用 剩余 类 的 例子 . 

有 六 个 运动 队 参加 一 个 单 循 环比 赛 ,每 个 队 与 其 余 N -1 个 
队 都 要 比赛 一 次 .现在 要 安排 比赛 程序 表 . 当 N 为 奇数 时 ,我 们 增 


添 一 个 虚设 的 队 ,在 每 一 轮 中 ,与 虚设 队 比 赛 的 队 为 轮空 ,所 以 我 


们 不 妨 假设 N 为 偶数 . 

将 N 个 队 依 次 编号 为 1,2,3,…, N , 共 需 进行 N -1 轮 比 赛 . 
ER k HEARN -1), E 11 ,j<N-1,14j,i1+ j=k (mod 
N~-1), JUSS i 队 与 第 ) 队 比赛 .第 N 队 则 与 由 2i* 寺 kk (mod N 
一 1) 所 决定 的 第 i* 队 比赛 .由 于 N -1 为 奇数 ,2 与 N-1 BH, 
存在 整数 q, fË 2q=1 (mod N -1), 故 i* 二 kg (mod N -1) 唯 一 
决定 . 

按 上 述 方法 编排 的 比赛 程序 ,在 N -1 轮 比 赛 中 每 个 队 与 其 
余 各 队 都 比赛 一 次 . 设 II<N-1,55 i DEB Ry 轮 与 第 N 队 
比赛 ,这 里 ky==2i (mod N -1) 唯 一 决定 ,与 第 j AGES 
六 -IT 在 第 请 EER, AE k =i +j (mod N -1) 也 唯一 决定 ,所 
以 第 i 队 与 各 队 都 比赛 一 次 ,前 N -1 个 队 在 NN 一 1 轮 中 与 第 N 
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队 各 比赛 一 次 ,当然 第 N 队 与 各 队 也 都 比赛 一 次 . 
举 个 例子 EA 5 个 队 参 加 单 循 环 赛 , 添 加 一 个 虚设 的 队 , 故 
取 N=6, 按 上 述 方法 可 排出 下 列 比赛 程序 : 


一 一 一 一 一 
BA 1 | 2 3 4 | 5 
第 1 轮 5 4|x|2| 1 
T 
第 2 轮 X 5 4 3 2 
第 3 轮 2 1 5 | x 3 
T 
3B 4 3 X 1 | 5 4 
本 TF 
第 5 轮 4 3 2 1 X 
| ||| 


§2.3 Euler 函数 olm) 


在 模 m 的 一 个 剩余 类 中 , 若 有 一 个 数 与 mm 互 素 , 则 该 剩余 类 
中 所 有 数 都 与 m 互 素 . 这 时 称 该 剩余 类 与 m ER. 

与 m 互 素 的 剩余 类 个 数 记 为 p(m), gp(m) 称 为 欧 拉 函 数 . 
9(m) 也 就 是 1,2,…, m 一 1 中 与 m 互 素 的 数 的 个 数 .我 们 在 与 
m 互 罕 的 pg(m) 个 剩余 类 中 各 取 一 个 代表 元 

414825", p(n)» 
它们 组 成 一 个 缩 剩余 系 ,简称 为 缩 系 . 
定理 2.5(Euler 定理 ) 若 (&,m)=1, 则 
kP = 1 (mod m). 
证 明 设 a102," ,ag(m) 为 一 缩 系 ,由 于 (&,m)=1, 则 
kai, ka2,***, kag(m) (2.5) 
中 各 数 也 都 与 m 互 素 , 且 其 中 任 二 数 模 m 都 不 同 余 . 否则 , 若 ha; 
=ka;(mod m), HF(k,m) =1, KA a;=a;(mod m ). HLA (2.5) 
中 各 数 也 组 成 一 个 缩 系 , 于 是 
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Ti cea.) = Ham m. 


由 于 (a&;,m)=1, 易 知 ke?" =1 (mod m), WEHE. 
4 p 为 素数 时 , 易 知 pg (p)=p-1, BH -L , RAGE p", 
A plp") =p" -p= p"(p-1). 
定理 2.6(Fermat 小 定理 ) # p 为 素数 , 则 对 所 有 整数 a 有 
同 余 式 
a? =a (mod p). 
证 明 由 定理 2.5 及 pg(p)=p 一 1, 立 得 . 
设 m 为 任 一 复合 数 ,如何 计算 olm)? 
定理 2.7 若 (m,m )=1, x 过 m -ZAARA ritm 
之 一 完全 剩余 系 , 则 mr +mz 过 mm 之 一 完全 剩余 系 . 
证 明 于 mm 个 数 mz + mz 中 ,车 
mz + m'r = my + m'y (mod mm’), 
则 
mx’ = my (mod m’), mz = m'y (mod m). 
HF (m,m’) =1, 可 得 
x = y (mod m’), x = y (mod m). 
定理 证 毕 . 
定理 2.8 #(m,m’)=1,2 itm 之 一 缩 系 ,x 过 m ZR 
系 , 则 mz 二 mx 过 mm 之 一 缩 剩 余 系 . 
证 明 (1) mx’ + m’x 与 mm 互 素 ,否则 , 必 有 一 素数 p, 使 
pl Cmax’ + m’x,mm’) BE pim, 则 p|mz, 因 (m,m’)=1, 故 
ptm’ BN p|z,pl(m ,zx), 这 不 可 能 . 
(2) 凡 与 mm’ 互 素 之 数 a 必 与 一 形 如 
mz +m'x, (rz,m)=1, (x ,m')=1 
之 数 模 mm 同 余 . 由 定理 2.7, 有 二 整数 r,r AE 
a = mz + m'r (mod mm’), 
今 证 (m,z)=1,(m ,zx )=1, #2, m)=d#1, W] 
(a,m) = (mz + m’x,m) = (mzr,m) = (x,m) = dÆl, 
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与 原 假 定 相 背 , 同 法 可 证 (z m )=1. 
(3) 在 定理 2.7 中 已 证 在 形 如 mx tmr 之 数 中 无 同 余 者 ， 
故 得 定理 . 
由 定理 2.8 立 得 : 
定理 2.9 若 (m,m )=1, 则 
p(mm’) = op(m)op(m’), 
Bp p(n) 为 一 积 性 函数 . 
定理 2.10 # m=pi prep, p< p< < p Al 
won) = mf 


证 明 m= pi pl pi< p< < p, HEH 2.9 可 得 
em) = [TP op!) = -eD = m IE (1-3) 
i=1 i=1 i=l Pi 


§2.4 HAD 


考虑 一 次 不 定 方程 
axt+by=n 
的 整数 解 x,y. 
定理 2.11 FH artby=n 有 整数 解 的 充分 必要 条 件 是 
(a,b)|n. 
证 明 若 该 方程 有 解 ,显然 有 (a ,5)|1z ,反之 , 设 (ae,p)12 ,有 
二 整数 xo, yo, ÎE azot byo = (a,5), 则 


即 证 . 
定理 2.12 #(a,b)=1, B 29,9 A ar + by= n 的 一 解 (此 
解 的 存在 无 问题 ), 则 该 方程 任 一 解 可 表 为 
xz = zotbt, y= y- at, 
且 对 任何 整数 2, Oe A. 
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证 明 由 
ax + by = n Karg + by =n 
可 得 
a(x — xo) + bly- yo) = 9. 
Fl(a,6)=1, al (y yo), tf y= yo- at, W] r= zot bt. RZ, 
对 任意 +, 此 两 式 显 然 是 解 . 
今 讨 论 形 如 
ax + b =0 (mod m) (2.6) 
的 同 余 方 程 , 何 时 有 解 ? 有 多 少 个 模 m 的 剩余 类 适合 此 方程 ? 
解 方程 (2.6) , 即 为 求 方程 
ax +t b = my 
的 整数 解 .利用 定理 2.11 可 得 如 下 结果 : 
若 (a,m)=1, 则 有 zo,yo, 使 
axo + myo = 1, 
HM x = — bro 即 为 (2.6) 之 解 .这 时 (2.6) 的 解 是 唯一 的 (在 模 m 
的 意义 下 ) ABA Ma x ,x , 则 
ax + b =Q (mod m), ax’ + b=0 (mod m), 
故 
a(x — x) =0 (mod m). 
HF (a,m)=1, mlr- 2’, LAK m H-TRRRES 
(2.6). 
#i(a,m)=d>1,W d|b , BRIA , Ws 
Set p=ty (mat), ($%)-1 .7) 
由 上 述 证 明 ,已 知 (2.7) 必 有 唯一 解 zi 适合 0 入 zi< 了 ,而 


m 
at 


r= xt 74 


皆 为 (2.7) 之 解 , 故 对 模 m 


1 21 + 十 2， Taa + (d -D7 


A IA (2.6) ZF RAE. 
定理 2.13 #(a,m)| b, (2.6) Ala, m) m 互 不 同 
余 之 解 ,不 然 无 解 . 
定理 2.14 同 余 方程 
aya, + + a,x, + 6 =0 (mod m) 
有 解 (zl，…zn) 的 必要 充分 条 件 为 
(ais anom) 1b 
车 此 条 件 成 立 , 则 其 解数 为 m” I(aj, apm). 
证 明 由 定理 2.12, 知 对 n=1 为 真 ,用 数学 归纳 法 证 之 , 命 
(ais an Mm) = d RR(a1,,an1,m) = dy, 
则 
(di,an) = d. 
由 定理 2.12 知 
ar + b =0 (mod d1), 0X t, < m 


有 有 学 个 解 ,对 其 中 每 个 解 2, f 
Ant, +b = bd, 
由 归纳 假定 
ayxy t+ + ay-42,-1 + bidi =0 (mod m) 


之 解数 为 


m”? (as, anam) = m"*d,, 
故 总 解数 为 
md n- n- 
do” ?.di=m ld, 
设 


fla) = aga" ++ + ag 
为 一 整 系数 多 项 式 ,讨论 同 余 方程 
f(x) =0 (mod m) 
的 解 . 若 x 为 它 的 解 , 则 与 zx 模 m 同 余 的 整数 都 是 它 的 解 ,我 们 
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通常 是 考虑 有 和 多少 个 模 m 的 剩余 类 适合 上 述 方程 . 
高 次 同 余 方程 的 解数 非常 不 规则 ,例如 ， 
1. 同 余 方 程 z-z=(z-1)z+l)zs=0(mnod6) 有 六 个 
解 ; 
2. RAE x? + 1=0 (mod 3) 无 解 ; 
3. 同 余 方 程 (x — 1) (x - p- 1)=0 (mod p?) BIBRA 1, p + 
1,2p+1,…,(p 一 1)p+1, 共 有 个 解 . 
一 般 地 ,车 (m1,m2) =1, 则 同 余 方程 
f(x) =0 (mod mim,) 
的 解数 为 二 方程 
f(x) =0 (mod mı), f(x)=0 (mod mz) 
解数 之 积 , 利 用 孙子 定理 容易 证 明 这 个 结论 .由 此 可 见 ,讨论 方程 
f(x) =0 (mod p), 为 素数 
的 解数 尤为 重要 
定理 2.15 设 p 为 素数 , 同 余 方 程 
f(x) = apr" +++ + ag =0 (mod p) (2.8) 
之 解数 魏 7, 重 解 计算 在 内 ， 
证 明 可 假定 pfa,, 若 (2.8) 无 解 , 则 定理 为 真 . 若 a 是 一 个 
解 , 则 可 有 
f(x) = (xz-a)filz)+ ri, 
将 a 代入 此 式 , 可 见 p|xi, 因 而 
f(x) = (az - a) fi (x) (mod p). 
# a 又 为 户 (z)=0 (mod p) 的 解 , 则 同样 可 得 
filz) = (x - a) f(x) (mod p), 
这 时 称 a 为 f(z) 寺 0 (mod p) 的 重 解 . 若 
f(x) = (x - a)*g;(x) (mod p), 
&1(a)#0 (mod p), WWEK a 为 f(x) 二 0 (mod p) MH k 重 解 .这 时 
g1( 工 ) 的 次 数 为 n 一 上 . 
设 另 有 一 个 解 5, 则 
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0= f(b) = (b - a)*g,(b) (mod p), 
AA plb—- a, 
gi(b) =0 (mod p). 
Ë b g1(x)=0 (mod p) 之 h 重 解 , 则 同样 有 
f(z) = (a2 -a)t(r — b)*go(x) (mod p). 
如 此 继续 进行 ,可 得 
f(x) = (a - a)* (x — b)* (ax - c)'g(x) (mod p), 
8g( 工 ) 的 次 数 为 n 一 一 hh 一 … 一 1, 且 
g(x) =0 (mod p), 
不 再 有 解 ,定理 即 已 证 明 . 
定理 2.16 ® 
f(z) = nap! +- + 2anx + Q1. 
# f(r)=0, f (<)=0 (mod p) 无 公共 解 , 则 
f(z) =0 (mod p’) 
之 解数 等 于 
f(z) =0 (mod p) 
之 解数 . 
证 明 利用 数学 归纳 法 ,/=1 时 自 不 必 证 , 命 z 为 
f(x) =0 (mod po) 
的 解 , 即 F(zi) = p's, 
fla + py) = flar) + pi yf (21) (mod p'), 
( 因 对 任意 n, (at ply) =x" + np -ly (mod P21)), 但 p+ 
f (21), 故 有 唯一 之 yo (mod p) AE s+ yof (x1)=0 (mod p), ER 
f(x, + po yo) =0 (mod p’), 
即 证 所 要 证 的 . 
由 定理 2.5, 同 余 方 程 
x?! =] (mod p) 
以 1,2,3,…,p 一 1 为 解 , 故 
a?! -1=(r- (zr-2).(zr — p + 1) (mod p). 
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Lh x =O FRA, BI (- 1)? '(p-1)! =-1 (mod p). 
定理 2.17(Wilson 定理 ) $ p ARK, 
(p ~ 1)! =- 1 (mod p). 
利用 定理 2.16 可 得 . 
定理 2.18 车 孔 为 素数 , 则 同 余 方程 
a?! = 1 (mod p’) 
A p-1 SF. 
证 明 取 f(z)=zx? -1, 6 (2) =(p-1) 2°, 
f(x2)=0 (mod p) SHE f (x) = -x? “三 0 (mod p) 无 公共 解 ， 
而 前 一 方程 有 p — 1 ME Re BRE. 


$2.5 H 根 


在 定理 2.18 中 ,以 & 代替 p 一 1, 结 果 如 何 ? 
定理 2.19 同 余 方程 
z =1 (mod p) (2.9) 
之 解数 为 (k,p 一 1). 
证 明 设 d=(k,p 一 1), 必 有 二 整数 ;及 :使 
sk+t(p-l1)=d. 
如 此 , 则 ae? = (t) 5+ (x2-1)!, 凡 (2.9) 的 解 一 定 是 
a? =1 (mod p) (2.10) 
的 解 . 反 之 , 因 d1k, 则 (2,10) 的 解 也 一 定 是 (2.9) 的 解 . 
由 定理 2.15, 已 知 (2.10) 的 解数 不 超过 d. X x? 1=1 (mod 
p) 有 pl1 个 解 ,再 由 定理 2.15, 同 余 方 程 
weed _ (za) 好 -1 +e +a? +10 (mod p) 
的 解数 不 超过 p -1 4, 因 而 可 见 (2.10) 恰 有 d ME. 
定理 2.20 ASF 
x =n (mod p), p/n 
或 无 解 ,或 有 (kk,p 一 1) 个 解 . 
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证 明 若 有 一 解 xo W 
(xot)? = xt + xot =1 (mod p), 
由 定理 2.19 即 得 证 . 

定理 2.21 Bx 过 模 p 2AM r R M? 不 
同 的 值 . 

证 明 ”由 定理 2.20, 有 (k,p 一 1) 个 不 同 余 之 数 ,其 次 方 皆 
Bip R MEE 户 - 1 个 不 同 余 之 数 分 为 Te 门类 ,每 一 类 
对 应 一 数 , 模 p EDRR. 

定义 2.1 设 有 为 整数 ,(h,n)=1, 最 小 之 正 整 数 1 使 

hi=1 (mod n) 
HARA h Hn 之 次 数 ( 或 阶 ). 
定理 2.22 Hh™=1 (mod n), l Hh Hn 之 次 数 , 则 1|m. 
证 明 必 有 两 数 g 及 r 使 n= ql t+r,1<r<l,m 
KW = h” (h) =1 (mod n), 
由 / 之 定义 , 必 有 r=0, 证 毕 . 

定理 2.23 设 1|p-1, 则 模 p 的 次 数 为 1 的 互 不 同 余 的 整 
数 个 数 为 p(7). l 

证 明 以 pg1(7) 表 示 模 p 的 次 数 为 1 的 互 不 同 余 的 整数 个 
数 .我 们 证 明 p1(1) 具 有 下 述 性 质 ，; 

(1) 4(11, 22) =1, $1( 1112) = pil) gla); 

(2) Æ q 为 素数 , 则 pg1(g')=g 一 gl1. 

由 此 可 知 gy(11,12)= gp(7). 
(1) BCL, lg) =1, hy $ p 的 次 数 为 11,hs 模 p WRAL, 
令 有 =hihs, 设 h 模 p 的 次 数 为 1. 易 见 
hiss = (hy )a(hg)4 =1 (mod p), 
故 L| lilo, AF 
1 = (hiha) = h,' (mod p), 
所 以 lal ili, ATS i214, 辣 样 L117, 故 = had. RBH L 的 数 
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hy 与 次 数 为 l 的 数 hs 产生 一 次 数 为 L172 的 数 hiho. XË AY 
次 数 也 为 11,h2 的 次 数 也 为 1, 假设 hihz=h; hz (mod p), W 
hy thy =h2h’y "(mod p), {E hy hi WKZ i, hhz! 的 次 数 
122, 故 必 有 
hi hi = hph’;'| =1 (mod p), 
即 hy =h,ho2=h2(mod p). PLA RBH 1, WERE L 的 
数 按 此 法 可 生成 pi) pi (la) IRB Lila 的 数 ,反之 , 设 有 的 
次 数 为 lil2, 必 有 二 整数 8 At {E sli + t= 二 1, 从 而 
h = het h”, 

今 证 站 的 次 数 为 12( 同 样 可 证 中 的 次 数 为 2,). BLA) =I 
(mod p),#(h"!)"=1 (mod p), W 42l sl1r; 亦 即 lsr, HF s 
与 2 BKK hlr, TR A RBH Ly, 到 此 ,我 们 证 明了 
pı(lil2) = PIC 91(12). 

(2) Rq 为 素数 ,1 = 和 , 则 

x? -1=0 (mod p) 
的 解数 为 g ,xz 的 次 数 必 为 gr 的 因子 , 若 x 适合 此 式 , 但 其 次 数 
不 是 g , 则 xz 必 适 合 
x? -1=0 (mod p), 
此 式 有 gq”! 个 解 , 故 
91(g)=g -gqg!, 

定理 证 毕 . 

定义 2.2 次 数 为 p 一 1 的 数 称 为 模 bp 的 一 个 原 根 (或 pp 的 
原 根 ). 

由 定理 2.23, 可 知 p 有 gp(p 一 1) 个 原 根 , 若 g 为 p 的 原 根 , 则 

g’, g'g 2? (mod p) 

为 模 p 的 一 个 缩 系 . 

定义 2.3 任 一 整数 n (p/n), LH-K a tk 

n = g° (mod p), O<a < p-1. 
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此 a 称 为 n Rp 的 指数 , 记 为 a= indn. 
注 :在 不 引起 混淆 的 情况 下 , 常 记 为 ind 2”. 若 m ALE BE n= 
g”(mod p), M] m=ind n (mod p 一 1). 

指数 与 通常 之 对 数 有 类 似 的 性 质 : 

1. ind ab=ind a +ind b(mod p-1), p¥ab; 

2. ind a'Œl'ʻind a (mod p—-1), pha. 

定义 2.4 fit pin, Æ 

xt =n (mod p) (2.11) 

有 解 , 则 n 称 为 模 p Kk 次 剩余 ,不 然 称 为 模 p 的 & KIERR. 

定理 2.24 n 为 模 p Hk 次 剩余 的 必要 且 充 分 条 件 为 (k， 
一 1) 能 整除 ind n. 

证 明 (2.11) 式 等 价 于 kindz 三 indn (mod p -1), 此 式 有 
解 的 充分 必要 条 件 为 (k,p 一 1)|ind n. 


$2.6 缩 系 的 构造 


设 m 为 一 自然 数 ,能 否 有 一 数 g 存在 ,使 
gl, g!, ge, el (mod m) 

为 模 m 之 缩 系 , 即 模 m 的 缩 系 能 否 由 一 个 元 素 生 成 ,如 果 存 在 这 
样 的 生成 元 , 称 它 为 ( 模 )m 的 原 根 . 

定理 2.25 m 有 原 根 存 在 的 充分 必要 条 件 为 : m=2,4, p! 
及 2p'(p 为 奇 素数 ). 

证 明 (1) 设 m 的 标准 因子 分 解 式 为 

m = pipe P's pi < pr< < p. 
任 一 整数 a Ala, pi) =1, 0 
a?) = 1 (mod p). 

命 LAPD, p BUS RBC, 


a’ = 1 (mod m). 
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4% 1<e(m)=o( pt) 9 (pe) Bt, m 就 没有 原 根 .车 p>2, 
9(pi) 为 偶数 , 故 m 不 能 有 两 个 不 同 的 奇 素 因子 . 若 m 有 原 根 ， 
m Wry 2!, pP Rp, E c22, 9(2°) =2 亦 为 偶数 ,这 时 2°! 
亦 不 能 有 原 根 . 故 仅 有 m =2!, p ,2p 可 能 有 原 根 . 

(2) m=2!, 若 1=1,1 就 是 2 的 原 根 ; 若 1=2,3 是 4 的 原 根 ; 
#4 1=3, 


P = 7 = 5 = P =1 (mod 8), 


8 无 原 根 . 当 13 时 ,对 任 一 奇数 a ,可 以 归纳 证 明 a? =1 (mod 
2!) .假设 


i- 


a = 142,2, 
则 
a? = (1 +214)? =1 (mod 2!), 
故 2'(1>3) FRR. 
(3)4 m= p!,1=1 时 ,定理 成 立 . 命 g 为 p 的 原 根 , 若 g?-1 
#1 (mod p), M r=g,# g? !=1 (mod p), RR r=g+p, Sik 
r FÈ p 的 原 根 . 设 4 为 r 模 p! 的 次 数 ,由 于 二 1 (mod p), r 是 
Bp 的 原 根 , 故 p 一 1|4d. 另 一 方面 , 当 +r=g 时 ,显然 有 POH 
(mod p’), M r=g+ pit, 
rP 1 =(g +p)? -1 = gl + (p- 1) pg? -1 
=- pg’? 40 (mod p°), 


命 
rl=1+kp,phk, 
因 
(1 + kp)? =1+ kp (mod p'"?),s >0, 
故 
(pel)? =1 + kp’ (mod p°*?), 
即 


po (e-1) 三 二 十 kp! % 1 (mod p) ’ 
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可 见 d Vp’? (p-1). HF dlp '(p-1),p-ild,md= 
o(p), BIU p 有 原 根 . 

(4) A m=2) Rete 的 原 根 ,车 g 为 奇数 ,g WH 2p’ 
的 原 根 ; 若 g 为 偶数 ,g + p 就 是 2p! 的 原 根 .证 毕 . 

定理 2.26 BI>2, 52 HARA. 

证 明 4123H, RNA 

52° =1 +2! (mod 2’). 
4 1=3 时 上 式 成 立 , 再 用 归纳 法 
5 = (5 = (1 +2514 k 2)? = 1 + 2!(mod 241)， 

#5? 1 (mod 2!), if 5° =1 (mod 2"), BI 5 HE 2! 的 次 数 为 
272, 

定理 2.27 设 1>2, 对 任 一 奇数 a, 必 有 一 5b 使 

a = (~1)*2" - 5°(mod 2/),6 >0. 
证 明 a@=1 (mod 4) ,由 定理 2.26 知 
5°,0<6<2!° 

为 2 个 模 2: AAR, E= (mod 4) , 故 必 有 一 b a= 
5°(mod 22) ， 

Æ a=3 (mod 4) , 则 - a=1 (mod 4) ,由 上 述 即 得 所 求 . 

定理 2.28 H m=2 p epr, 150,1,>0,-.1,>0, 4 1 = 
0,1;7=2 或 1>2 以 定义 8=0,1 或 2, 则 六 之 缩 系 可 由 5 二 8 个 
数 之 乘 方 之 积 表 出 . 

证 明 (1) m = m’m",(m’,m”)=1 , 


415°**3Qg(m’) 
为 m 的 缩 系 , 且 a;==1 (mod m”)( 这 总 是 可 能 的 ), 又 命 
biss Bo mn’) 


为 2 的 缩 系 , 且 b;=1 (mod m), il 
abs, \Ric<glm’),1<j < ¢(m’) 
即 表 mm 之 缩 系 . 
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(2) 由 定理 2.25 和 定理 2.27 可 知 , p USNR 
之 乘 方 组 成 ,2! 的 缩 系 由 5 个 数 的 乘 方 之 积 组 成 ,可 见 定理 成 立 . 


习 题 二 
2.1 试 证 ;3zx?+2= yx 无 整数 解 . 
2.2 设 为 素数 ,1<h< 一 1, 试 证 :| (了 (二 项 式 系数 ), 由 此 推出 
(a + b)? = a? + bP(mod p). 

2.3 证 明 : Dold) = m. 
2.4 命 ;为 (m,n) 中 不 同 素 因 子 之 积 , 则 

pm) s 

g(m)o(n) Ps)” 
2.5 Rg Se, VHRR p WR, A g= g (mod p), 则 

ind n = ind,, n + indgı(mod p ~ 1). 

2.6 证 明 
(1) gn) =F n SAMY n=2!, EN; 


(2) p(n) =n MENY n=28-3',k GEN, 
2.7 & p=2" +1 Fermat RH, RUE 3 X p 的 原 根 . 
2.8 设 为 一 奇 素数 , 试 证 当 且 仅 当 对 p-1 所 有 的 素 因 子 g 有 


a #1 (mod p) 时 ,a X p 的 原 根 . 
2.9 ”定义 Mobius 函数 /为 


1, n=l, 
pln) = | 车 w 有 平方 因子 ， 
(C1), Hn = prep. 
证 明 (1) 车 n>1, 有 2) eld) = 0; 


(2) n= Daed) olh). 
2.10 ”将 同 余 的 概念 类 比 在 Z [i] 中 定义 ,证 明 任 意 Z [i] 一 个 元 素 a + 
bi =0 1 (mod 1 +i). 
2.11 将 同 余 的 概念 类 比 在 Z [w] 中 定义 ,证 明 Z [w] 中 任 一 元 素 上 + bw 
=0,1,-1 (mod 1- w). 
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2.12 SAa=1-w€Z[0), 8% eC Zw] a=1(modà), WH = 
1 (mod p). 
2.13 设 户 是 素数 ,证 明 : 若 g 2?-1H-TAF MBA 
(1) g=1 (mod p); 
(2) q=+1 (mod 8). 
2.14 证 明 ; 若 g EFK A +1 的 一 个 正 因子 ,那么 g=1 (mod 2"). 
进一步 , 若 k>2,8 A q=1 (mod 2**?). 
2.15 证 明 : 若 (21 H a=b (mod p'), ABA 
a? = b (mod p*!). 
2.16 $ p HARMS 2, ME: WEE a€Z.A 
(1+ ap)?” = 1+ ap? (mod p’). 
2.17 由 孙子 定理 求 同 余 方 程 组 的 解 
x =1 (mod7), 
rs (mod 9), 
x =3 (mod 5). 
2.18 解 同 余 方程 组 的 解 
x = 1 (mod 6), 
a (mod 9), 
z= 7 (mod 15). 
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第 三 章 二 次 剩余 
§3.1 定义 及 Euler 判别 条 件 


设 m 为 大 于 1 的 正 整数 ,n 与 mm BRA 
x? =n (mod m) 

可 解 , 则 n RAKE m 的 二 次 剩余 ,否则 称 为 二 次 非 剩余 . 
例 1,2,4 为 模 7 的 二 次 剩余 ,3,5,6 为 模 7 的 二 次 非 剩 余 . 
设 p HARM, pln, EX Legendre 符号 : 

()= 六 in Atk p 的 二 次 剩余 ; 

P -1, Hn 为 模 p 的 非 二 次 剩余 . 
4 n=n’ (mod p) 时 ,显然 有 


定理 3.1 hp OTEK p HMA PAD -DAE 

HEAL- DASKRENA, H 
224o- 

即 为 所 有 的 模 户 二 次 剩余 . 

证 明 若 二 次 方程 

x? =n (mod p) (3.1) 
有 解 , 则 至 多 有 两 个 解 .由 
(p- x) =(- 2x)? =n (mod p) 

可 知 ,(3.1) 式 必 有 一 根 适 合 


1<zr<3(p-1). (3.2) 


又 因为 
a’ -b =(at+b)(a-b), 
X g2=6?(mod p) 时 ,a +5 5a- b 中 必 有 一 数 是 p 的 倍数 ,由 
此 可 知 
r [to-D) 
模 p PAA, MIFE. 


定理 3.2(Euler 判别 条 件 ) Rp ATER, pin, A 


nT = (z) (mod p). 


证 明 (1) (2) = 1, WERK zx Han (mod p), h 
Euler 定理 知 
= 7? |=1 (mod p). 

(2) 由 定理 2.15 知 ,方程 r T =1 (mod PREKE - 
1) ,由 上 面 定理 可 知 , 它 有 考 (p 一 1) 个 解 ,它们 是 模 p 的 所 有 的 二 


次 剩余 ,而 且 没 有 其 它 解 . 
(3) 由 于 n? '!=1 (mod p), 所 以 


pl (nP = 1) = (n2Y 1) (nO 41), 
Ë pin? P-D -1,0 pl n22-) +1, BM n2°-D= +1 (mod p), 


当 为 模 p 的 二 次 非 剩余 时 ,就 有 n2°-=-1 (mod p) EE. 
定理 3.3 若 pfmn,p>2, 则 


(G) 
PP Legendre 符号 是 积 性 函数 . 
证 明 
加 


两 端 都 为 +1,p >2, 故 定理 成 立 . 


由 定理 3.3 可 知 ,两 二 次 剩余 之 积 为 二 次 剩余 ,两 二 次 非 剩 余 
之 积 为 二 次 剩余 ,一 二 次 剩余 与 一 二 次 非 剩余 之 积 为 二 次 非 剩余 . 


§3.2 Legendre 符号 


由 定理 3.3 可 知 ,如 能 计算 


A one. 


就 能 计算 一 切 模 p 的 二 次 剩余 .车 n= 42% G1 gi I 
m L L 
el Tas) 
由 定理 3.2 知 
-1 


(= )= © DF (mod p), 


AFERA +1, Rae: 
E32 3.4 若 p 为 奇 素数 , 则 


-1\_ ,pl 
( > )= (一 1) 2 . 
当 p=1 (mod 4) 时 ,一 1 为 模 p 的 二 次 剩余 , 当 p=3 (mod 4) 时 ， 
一 1 AR p 的 二 次 非 剩余 . 
定理 3.5(Gauss 引 理 ) 命 p 为 奇 素 教 ,phn, 设 十 (pp 一 1) 个 
数 
1 
n,2n,%, (p> Dn 
的 最 小 正 余 数 中 有 m 个 大 于 pp/2, 则 
nm\_¢_4)\m 
(#)=( D™. 
fl p=7,n=10,A 10,20,30=3,6,2 (mod 7), 只 有 6> 
p2 it m=1, = -1. 
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证 明 Manaa} 一 1) mr) 表示 诸 余数 中 小 
于 人 2 者 ,以 birba bn 表示 请 余数 中 大 于 p 人 2 者 , 则 a1,a2， 
ars P~ bip- bp- bm 都 在 1 与 方 (一) 之 间 , 它 们 是 
两 两 不 同 的 , 若 

as = p- bh, 
则 as + b= p, AME x 和 y, 使 
an + yn =0 (mod p), 1S z,y l5 Lp -1), 
由 于 bin i pla + >, 这 是 不 可 能 的 ,所 以 


上 式 左 端 
(~ DIa- Ia, =(-1)” Tl kn 


=(-1)" (237 Ein r T (mod p), 
故 得 


n3 = (- 1)” (mod p), 


(2 )= (-1)". 
在 定理 3.5 中 , 取 n=2 


2,2 .2,2 .3,…,2. aot 


都 在 1 p NRSR p ME <e<F, pV m = [4]- 


由 Euler 判断 条 件 知 


[F | p=8a +r,r=1,3,5,7, 则 得 


r 


m = 2a + [5 |- [= ]=0.1.1,0 (mod 2), 
故 得 . 
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-定理 3.6 若 p 为 奇 素数 , 则 


2 — (_ 4(p?-1) 

(5) (= D8 , 

即 当 p=+1 (mod 8) 时 , (-1)”=1 (2) =1,2 为 模 户 二 次 利 

余 ; 当 p=+3 (mod 8) 时 ,(-D"= -1,(4)= -1,2 X38 p = 

次 非 剩余 . 

定理 3.7( 二 次 互 反 律 ) Hp, AFTER, pq, A 

p pziazl 
(ens 

证 明 RIGO- MERRER 


ka = gptri, qs = [4] on <p. 


令 
a= dias, b= Ss, 
s=1 t=1 
(a, b, 的 定义 见 定理 3.5) 则 
4¢p-1) 
> rp = ath. 


在 定理 3.5 中 已 证 明 ,a,,p 一 6 与 1,2,…, 二 (一 1) 相 同 , 即 


p?-1 1 
8 51+2+= +5 (p-1) 


l m 
=> a+ D (p-b)=a+mp-b, 


s=1 


~ 
ll 
二 


4(p-1) dep) 4¢p-1) 
PhD at Sn=p Datars, 
两 式 相 减 得 


4e- 1) 


Pl-D) -py qk 一 mp + 26. 


Al q>2, 8 
4(p-1) o- 


n= > gx = > [2 (mod 2), 
我 们 有 


去 (p-1 


(2)= CD"= CD 


a 


同 法 可 得 


于 是 


引 理 3.1 
4¢p-1) 4(q-1) 
5 e) bol -1 
zı LÊ 11 tq 2 2 
证 明 0,0), (0,40) ($20, (4 p44) MAREK 


方形 ,如 下 图 所 示 : 


Nps 


Nji 


长 方形 内 的 整 点 (两 坐标 都 为 整数 ) 个 数 为 2 了 az ,在 下 
三 角形 内 整 点 的 个 数 为 


“41° 


4¢p-1) 


k=1 
在 上 三 角形 内 的 整 点 个 数 为 


a-n) 


lp 
2 [$ |， 
引 理 证 毕 . 
例 1 求 以 3 为 二 次 剩余 的 素数 p(>3). 


由 互 反 律 
的 -的 cat 


p\_ 六 p =1 (mod 3), 
($)= -1, p=2 (mod 3), 
1,p =1 (mod 4), 
~1,p =3 (mod 4), 
由 孙子 定理 立即 可 以 算出 
(3)- [pmt (mod 12), 
b ~1,p=+5 (mod 12). 
例 2 同 余 方程 

x? 二- 1457 (mod 2389) 


(= 1)2-D - | 


是 否 可 解 ? 
解 令 p=2389, 它 是 一 个 素数 ,1457=31 x47. 


22) (2)=1 
31 31/7 


1457 
BRUL (Sago. ) = ~ 1, 同 余 式 无 解 


§3.3 Jacobi 符号 


设 m HERM, m = TL pop, 为 素数 ,可 以 重复 出 现 , 若 
(n,m) =1,7EX 


称 为 Jacobi 符号 . 
显然 我 们 有 (十 ) =1,(£) = 1, 若 n=n' (mod m), Ben, 
oa 人 -全 
若 (n,m)= (n,m )=1,m 也 是 正 奇数 , 则 有 
N\{M\_ f_n_ 
(mn (ae) = (sim): 
若 (n,m)= (n,m)=1, 则 
nm \_ /n\n 
(a) G) 
定理 3.8 (St )a(- pie, 
证 明 只 须 证 明 
Dar = (Ip -1)2 (mod 2) 
即 可 .因为 
(Pp1— 1)(p2 -1)=0 (mod 4), 
故 
Pip2-1= p, -1+ p -1 (mod 4), 
PiP -l bl} 
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由 归纳 法 即 可 证 . 


定理 3.9 
(ż)= (1) -D 
证 明 
Cn) II (7 -)= ioni Dope. 
因 8| p?-1, fk 


(pi - 1)(p3 - 1) =0 (mod 16), 
pip —-1= pi -1+ p3-1 (mod 16), 


2 2-1 2 1 21 
PIO = PiS + PITI (mod 2). 
由 归纳 法 可 证 
t Tl 22-1 
pi-1l i m?-1 
之 3} = 8 =- (mod 2), 


定理 得 证 . 
定理 3.10 Bm bn ALAR, A(m,n)=1, 8) 
EE- 


证 明 $ m=]Jip, n= lq, n 
m 
n 


ais (8) (8) o- (8) 


-BS 
-5-6 


(1901) = 1, (wi) = 1, (ign) = 1 


3.2 试 证 : 若 p=+1R+5 (mod 24), 则 (号 )=1; 著 p 三 +7 或 +11 


(mod 24). AE) = -1. 
3.3 写 一 个 具体 求 Legendre 符号 的 算法 ,分 析 其 复杂 度 . 
3.4 设 素数 pa , 试 证 二 次 同 余 方程 zz + bz + c=0 (mod p) 的 解 的 


个 数 为 1+ (24e), 


p-1 
3.5 Șt pa ER (242) = 0. 
3.6 证 明 


3.7 EBA 12:32:52- (p —2)?=(- 1)? *Y2(mod p). 
3.8 $ Q Æ mod 的 所 有 二 次 剩余 的 乘积 , 试 证 : 
Q- |" 车 p =3 (mod 4). 
-1, 4 p=1 (mod 4). 
3.9 证 明 
(=2)= |? # p = 13 (mod 8), 
-1, 4 p=5 7 (mod 8). 
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第 四 章 特 4 
$4.1 剩余 系 的 表示 


设 m 为 一 正 整数 ,Au, Ast) Am 14 m 个 剩余 类 , 它们 组 
成 一 个 加 法 群 . 若 将 每 个 剩余 类 对 应 一 个 复数 ( 非 零 ) ; 
A, ~~ E> 
且 具 有 下 述 性 质 : 当 A, + A, = Ay 时 ,上 es = &,, 称 此 对 应 为 剩 
余 系 的 一 个 表示 ,也 就 是 剩余 系 加 法 群 的 一 个 表示 . 
取 &=e@mw?, 就 可 以 得 到 一 个 表示 .车 wu 三 uw” (mod m), 则 
u=u tkm, 
é, = eilu km )/m 二 e2riz /m = Ey. 
A x+ v=w (mod m), Il 
é, -& = e2ri(z+z)《ma 一 e2riw/m = &,. 
所 以 A, >E, 是 一 个 表示 . 设 a WERK, I<a<m,W A, >E 
= eriww 和 也 是 一 个 表示 , 共 得 到 m 个 不 同 的 表示 . 今 证 模 m WR 
余 系 也 仅 可 能 有 m 个 表示 , 设 A, >q 为 一 个 表示 ,由 于 mA] 
= Ao of = 70-7040, TLL yo=1, 是 一 个 m 次 单位 根 . 
设 m= 2ria/m py m= 64. a Pu = H= f 
定理 4.1 
15 2nian/m __ l,m | n, 
m 2° ~ [0,mhn. 
证 明 车 m1n ,显然 成 立 .车 mn 则 
m-l ian /m 1- 2xin/m y m 
de É = 1 Dann 
设 flzi1, Tz2, ,Tn ) 为 整 系数 n 个 变量 的 多 项 式 , 同 余 方程 
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= 0. 


flari t2, 2n) =N (mod m),0<a,<m-1 
的 解答 数 可 表 为 
1 15- 53 Sie 2ria( f(x» “sa, )-N)/m 


=0 z, ,=0a=0 


由 此 可 见 , 同 余 方 程 问题 有 了 解析 表达 式 . 
$4.2 € {E 


W a1,a2,…,agy(m) 为 小 于 m Hm 互 素 的 所 有 正 整数 , 剩 
余 类 Aa, s Âa," ,A 组 成 一 个 模 m 的 缩 系 ,对 乘法 封闭 ,组 成 
一 个 乘法 群 .考虑 这 个 乘法 群 的 表示 , 称 它 的 表示 为 特征 . 

定义 4.1 Hm 的 特征 X(m) 是 一 仅 当 (n,m)=1 时 有 定义 
Hik, HES; 

1. x(1)40; 

2. # a=b (mod m), A} xla) = xC); 

3. ylab)=x(a)y(b). 

ABA AH, 3 (n,m) >1 8,4 x(n) =0. 

例 X(z) 恒 为 1, 显 然 是 一 个 特征 , 称 为 主 特征 , 记 为 yo; 
4)? = ¥(1-1) = 71), By (1) 40, y)=1. 

我 们 来 找 出 模 m 的 所 有 的 特征 ,首先 考虑 m = p 为 一 素数 
的 特殊 情况 , 取 g 为 模 p 的 原 根 , 当 Sp ERN, n= 
g™ "(mod p), RZ 

Ya(n) 二 e2ria ind n/(p-1) ， l<ax<p -1 

RATER: 

1. y,(1) =1 (ind 1=0); 

2. 4 n=n’' (mod p), J ind n=ind n’ (mod Pp 一 1), 故 
Xa(n)= Xxa(n’); 

3. xa(nn’) = enidan )/p-1 = eriolindn +indn')/p -1 

= Yal n) žan’) 
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所 以 xs(n) 是 一 个 特征 , 当 p42 Bt Be a = 2 , 则 


Hp) = i" = (4), 
Legendre 符号 是 一 个 特征 .以 上 共 得 到 了 模 p WY p — 1 PERE. E 
x(n) AK p 的 任 一 特征 ,因为 ge t= (mod p), 故 y(g)? 1= 
1,x(g) 为 p 一 1 次 单位 根 ,可 能 取 p -1 个 不 同 的 值 . 当 x(g) 确 
定 后 ,所 有 的 x(xn) 也 就 确定 了 ,所 以 模 p 的 特征 共有 pp 一 1 个 . 
考虑 一 般 的 m: 

1. m= p!,p 是 奇 素数 .由 定理 2.25, 存 在 模 p! 的 原 根 , 记 为 
gin Sp BRM n=g™" (mod p!), 如 此 可 得 p( p' ) EME 
a(n) 一 gria ind n/p) ， l<ax olp). 

当 7 天 1 (mod poe, 
X1(n) = Eriind n/p) £1. 
2. m=2!'. 
(a) !=1, 仅 有 一 主 特征 ; 
(b) 1=2, 除 主 特征 之 外 ,还 有 一 个 特征 ; XxX(1)=1,x(3)= 
一 1; 
(c) !>2, 由 定理 2.27, 当 ?为 奇数 时 ,有 一 整数 5, 使 
n= (—1)2° Ds (mod 2!),b > 0. 
定义 
Xan) = (一 1920D a grid 2? 
其 中 a 可 取 为 +1,c 可 在 [1,21"?] 之 内 , 故 共有 p(22) =24-1 个 特 
征 .特别 , 取 
y(n) = (一 1)20-D aris? 
4 xX1,1(n) =1, 0} n==1 (mod 2 人 ) 或 n=- 5? (mod 2), mA n 
=- 5? “(mod 20) 时 ， 
X01(n) =-1, 
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即 若 nÆ1 (mod 2 ) 时 ,总 存在 一 个 特征 Yaco E 
Xa (n) Al. 
3. 一 般 情况 , 设 m = pt pe 为 标准 因子 分 解 式 , 设 x"(n) 
为 模 p? 的 一 个 特征 , 则 
y(n) = He) 
为 模 m 的 特征 ,由 此 可 得 g(m) 个 模 m 的 特征 . 
反之 , 若 特 征 x(n ) 的 模 为 
k = kiks'*k,, 
此 处 k: 两 两 互 素 , 则 存在 以 (i=1,2,… ,>) 为 模 的 特征 x;(n) 
使 
x(n) = x1(n)x,(n). 
仅 以 r=2 为 例证 之 .对 任 一 n AEM ni 及 n, 使 
ni =n (mod ki), ni11 (mod kz); 
nz =1 (mod kı), nz = n (mod kz). 
定义 
xn) = Xn1), y(n) = y(n), 
可 以 证 明 Xi1(7) 是 kı 的 特征 ， 同样 X2(2) 是 模 k2 的 特征 . 由 nl 
与 n2 的 定义 可 知 
nin2 =n (mod ky), nin =n (mod kz), 
故 nyn.=n (mod m), BIE 
x(n) = x(nin2) = x(n) x(n) = xi(n) x2(n). 
定理 4.2 ”以 上 所 造 出 的 p(m) 个 特征 互 不 相同 . 
证 明 若 . 
iO = 11%. 
我 们 欲 证 明 对 每 个 v,x* =, yO AOE ple 的 特 
TE , 故 仅 需 证 明 若 
. 49 . 


x(n) = [fxm 


是 主 特征 , 则 每 个 y ORE pe 的 主 特征 . 取 


n=1 (mod p”), 
, lx<v<s-l. 
n =a (mod p') 


这 里 a 是 可 为 任 一 与 p, 互 素 的 整数 ,由 y(n) = 1,08 y" (a) 
=1, 即 x 人 为 模 太 的 主 特征 .类 似 地 可 证 ,对 任 一 v,x'” 都 是 主 
特征 . 

定理 4.3 # n 关 1 (mod mm), 则 在 这 gp(m) 个 特征 中 ,一 定 
存在 一 个 特征 X ,使 (1) AI. 

证 明 HH on 41 (mod m), 一 定 存 在 一 个 pr, iE nF 
(mod pt), BR yO A pe KI—MAME, Boy? (n) #1, 4 u*v 
时 , 取 ONERE, S y= TI xO , 则 y(n) AL, BRE. 

定理 4.4 

jp(m)， 著 X = xo 
Dro = ， ŽE 
求 和 号 中 n 跑 遍 模 pm 的 完全 剩余 系 . 
证 明 H y= xo 时 ,显然 成 立 . 当 X 天 Xxo 时 , 必 有 一 整数 a， 
(a,m)=1, 且 x(a) 闫 1, 由 
x(a) xn) = Dylan) = Dx(n), 
BM (y(n) -1)2)x(n) = 0, 故 得 定理 . 
定理 4.5 命 c 表示 模 m 的 特征 总 数 , 则 
_ yes # n=l (mod m), 
Xx) ~ 10, 3 n 341 (mod m). 
证 明 因 nn? 二 1 (mod m), (y(n) ™ =1, 特 征 个 数 


总 是 有 限 的 . 当 n=1 (mod m ) 时 ,定理 显然 成 立 . 当 nÆ1 (mod 
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m ) 时 ,由 定理 4.3, 一 定 存 在 一 个 特征 yi y(n) 1 
yaa) Dx(n) = Dixa) = Dylan), 
可 证 得 定理 . 
定理 4.6 模 和 的 特征 总 数 等 于 p(zz ). 
WEAR 由 定理 4.4, 定 理 4.5 知 


x(n) = c， 
Yxa) -| ” x 
mx X y(n) = glm), 
xon 
故 c= gp(m)， 
所 以 ,我 们 所 造 出 的 p(m ) 个 模 m 的 特征 已 包含 了 模 m 所 
有 的 特征 . 
令 
ya(n.2!) =- 1)", 
X2(72324 一 ca， 
x(n, p) = e" ind n/p(p), 
fit m= 2° II pe 2p, Bim 的 任 一 特征 可 分 解 为 
Th (x(n, AK a = 0,1, 
x 
y(n) = 9 x1(0,2') 1 [x(n, pe), a = 2， 


xin 2/0 y2(0 2) [y(n pp), a>3, 
其 中 co =0,1,1<c9<2!-? 0c, < plp). 
$4.3 原 特 征 
Ry Atm 的 特征 , 若 存在 m 的 一 个 真 因子 M(m 关 M)， 


具有 下 述 性 质 : 当 
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n=n (mod M), (n,m) =1, (n’,m)=1 
时 , y(n) = y(n"), BR y 为 模 m 的 非 原 特征 ,否则 称 为 模 mx 的 原 
特征 . 
当 m 关 1 时 , 主 特征 是 非 原 特征 (可 取 M =1). 
当 m= p 为 素数 时 , 非 主 特征 都 是 原 特征 . 
当 m= p/(21p,l>>1) 时 ,特征 
Xa(n) = e2riaind n/p(p') 
为 原 特征 的 必要 充分 条 件 是 pla AKR p 的 非 原 特征 一 定 诱导 
出 一 个 模 p RIRE). 
Ë m=2',1=1, RA ERE, /=2 时 , 非 主 特征 x(1)=1， 
X(3)= 一 1 是 原 特征 . 
当 /之 3 时 ,车 xo,.(n)= Xs,e(n+2171)( 反 之 亦 真 ), 即 
(- 1) e eiea? =(=- 12e D aries’ 2 
=(- 1) ert 2? 
因而 c(b -b )=0 (mod 2/7?) ,这 里 
n +21 = (~ 1)" + 5" (mod 2"). 


由 于 
n +27! =n + n2! (mod 2’) 
=n(1 +271) (mod 2!) 
=n-S (mod20)， 
故 


b = b + 2'-3(mod 212), 
可 见 x,, 为 原 特 征 的 充分 必要 条 件 为 Le. 
例 HW m=8( hf 1=3), 
Yac(n) = (= 1) eto 
当 n=1,3,5,7 i}, b =0,1,1,0. 35 c=1Ħ} 
Xa,1(1)=1, Xa,1(3)= ~(- 1)*, xa,1(5) = 一 1 Xa (7) = 
C DERRE, KRE, xo (2) = (2), yn = (二 2), 而 c=0 
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时 ， 
xio = 1,471,003) =- 1, %1,0(5) = 1, 41,0(7) =-1, 
即 Xio(z) = (二 二) , 它 是 模 4 的 特征 ,所 以 不 是 模 8 的 原 特征 ， 
一 般 , 车 利用 $4.2 的 表示 法 
x(n) = Hx), 
当 yO ha — WH pe 的 非 原 特征 时 ,x 为 模 m 的 非 原 特征 . 反 
之 , 若 y Bm 的 非 原 特征 , 则 一 定 有 一 个 yO ER pe 的 非 原 
特征 . 
考虑 取 实数 值 的 原 特征 , 当 p 为 奇 素数 时 , 若 
y(n, p')% = e2ricv'ind n/o(P) 
总 取 实 值 ; 则 c。 SB o(p!)/2 的 倍数 ,由 上 述 , 当 pe, 时 为 原 特征 ， 
故 仅 当 1=1,c,=(p 一 1)2 时 , 它 为 实 原 特征 . 
设 x(n,21)%= erc52” 为 实 原 特征 , 则 必 有 21-3|co,co 又 
是 奇数 , 故 I<. 
设 m=2m 24m’ ,这 时 模 m 的 特征 也 是 模 m 的 特征 ,不 存 
在 模 m 的 原 特征 . 
综合 上 述 , 仅 当 m=2*p1…p,,a =0,2,3 时 ,有 实 原 特征 . 因 
c= 5 CP) t 
y(n, py )2OD = eriind ”一 (3). 
当 a =0 时 ,该 实 原 特征 就 是 Jacobi 符号 
(2) (n,m) = 1; 
当 a =2 时 , 实 原 特征 就 是 
C Deo (7), (n,m) = 1; 
当 a =3 时 ,有 两 个 实 原 特征 : 


Ga) Com = 
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Bs) tom = 


$4.4 特 EM 


命 特 征 和 
s(a,y) 一 Dylan, 
定理 4.7 R m= mym2,(m,,m2)=1 A y(n) = 
X1(n)X2(n), 这 里 x1 RR mi HE, yo 是 模 m 的 特征 , 则 
s(a,y) = yr 0m2) x20) s(a, x1) 5a, %2). 
U $ n= mint mony, 4 ni, n 分 别 跑 遍 模 mi, m 
的 完全 剩余 系 时 ,n MERE m 的 完全 剩余 系 , 故 


mi m. 


sla, xy) = > 之 xiCmynz + moni) x2(myn2 + manı) 
n= 


. pram mtm n Dmm, 


ma 
= 3》 Xi mani) eran S) (my ny eran’ 
mal ny=1 


= x1(m2) Xa m1)s(a, Xx1)s(a, Xx2). 
由 定理 4.7 可 知 ,我 们 仅 需 研究 以 素数 寡 为 模 之 特征 和 . 
定理 4.8 4 m=p'.% plaky ARBRE, RF pla Ry 
是 非 原 特征 (但 车 1==1, 则 y= Xo 的 情况 应 除外 ), 则 s(a,xX)= 
0. 
证 明 令 n=zx(1+ ply) 4 r ey ARRA, yt 
模 p 的 完全 剩余 系 时 ,” 过 模 p! 的 缩 系 , 故 


s(a,x) = Hye Za + phly) eran’? 


若 X 为 非 原 特征 ， 这 时 1>1 the y(t pf 1!y)=1, 这 时 
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0, pla 
slay) =} & dniax/p 
p2) xX(x)e ， pla. 


zal 


E x 为 原 特征 , 则 一 定 有 一 ,使 XxX(1+ pte) AL, AF pla, mi 
当 1>1 时 ,有 


p 
y+ pu) 2 xa + py) 
È 
=) y+ py + u)) 
y=1 
= St py), 
y=1 


故 Sd + ply) =0, 当 !=1 时 ,由 定理 4.4 可 知 定理 当 X 天 
Yo 时 也 成 立 .证 毕 . 

记 

rly) = s(1,x). 
若 (a,m)=1, 则 
x(a)» sla,xy) = ST y Can) = s(1,x). 
n=1 

若 能 计算 ;(1,x), 就 能 得 到 s(a, y) Ca, m)=1). 

定理 4.9 4 

C,(n) = > e2man/g ， 
(a,q)=1 

其 中 a 跑 遍 模 g ZRA, 

(1) 当 (g1,92)=1 时 ,Cag,(n)= Co (nC, Cn); 


(2) 
(ppl, #pin, 
Cyi(n) = | pt, = pn, p! ln, 
0, # pn; 


(3) Cs(1)=jp(g)( 当 g 有 重 因子 时 为 零 , 当 9 无 重 因 子 时 ， 
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ul(q)=(-1)".r 为 g 的 素 因子 个 数 ). 
证 明 (1) 令 g= giaz+ gz241,Q1,42 分 别 跑 遍 模 gl, q2 的 缩 
系 , 代 人 即 证 . 


l ， go ni 
(2) Cin) = Pei — SY rien 0 ,利用 定理 4.1, 即 可 
a=1 a=1 


(3) 由 (1) 和 (2) 妈 可 推 得 . 
定理 4.10 By 是 原 特征 , 则 
| r(x) 1? =m. 
证 明 由 定理 4.7, 仅 需 讨 论 m = p 之 特例 . 
I r(x)? = rx) rx) 


i p . 
= -$ ADEE DX(g)e ma 
q=l 


li 
Vane 
>e 

om 

3 


1 
yd Pe . I 
enp > ) Xng)e P 
q=1 
! 


— p “4 I 
二 x(q) > el q)n/p ， 


=1 n=1,(p,n)=1 
& p qol, 由 定理 4. 9 可 知 上 式 右边 对 应 的 内 和 为 零 , 故 假 设 
p\q-1, Rp 
q-1= plu, O<uxp-il, 
我 们 有 


L 


-1 
I r(x) = 大 一 加 -+ S xy + ptu) 3 e72riun/p 
u=1 


n=1,(p,n)=1 


el _ 
=p — pol > xa + plu) 


=p - y+ pu), 
u=1 


由 于 x 为 原 特征 ,类似 于 定理 4.8 的 证 明 ,可 知 上 式 中 的 和 为 零 ， 
故 证 得 定理 . 
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我 们 有 
r(X) = «vm, lel= 1, 
BEME HERF. 
定理 4.11 By 是 实 原 特征 ,m 为 奇数 ,有 
+J/m, #m=1 (mod4), 
r(x) = 
+idm, #m=3 (mod 4). 
证 明 由 $4.3 的 讨论 ,可 知 m 无 平方 因子 . 设 m= p HE 
数 ， 


-1 -1 , 
r) = $ y(n) . S (qos? 
n=1 qg=1 


-t -1 
= ynei yng) ear? 
q=1 


1 


1 -1 
= x(q) 人 emae 
1 n=1 


a > a 
| Il 


p-2 
x- 1)(p - 1) + X Xx(q4)- (1) 
gq=1 


=X(- Dp-1)+(-x(-1)(- DT 
=X(-1)p, 

而 
xD = (St)= Cn, 


易 见 这 时 定理 成 立 ,由 此 可 推出 当 m 为 几 个 奇 素数 之 积 时 ,定理 
ERZ. 


$4.5 Gauss 和 


三 角 和 


m rir n/, 
s(n,m) = emm (n,m)=1 


z=1 
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PRN Gauss 和 . 
定理 4.12 若 (m,m )=1, 则 
s(n,mm’ ) = s(nm ,m)s(nm,m ). 
证 阴 令 z=my+mz, 则 


2 mm 2 
s(n mm’) = Ser n/mm — > S eitn z) n/mm 


r=1 y=1 z=1 

m 2 m 2 
_ > ， 2riy mn/m N\ 2miz mn/m 
一 e e 

y=1 z=1 


=s(nm’,m)s(nm,m’). 
由 此 可 知 , 仅 需 计算 s(n, p) (p 为 素数 ). 
定理 4.13 令 
1, 当 p 为 奇 素数 ， 
2， 当 p= 2,， 
则 当 1226 时 ， 
s(n, p) = ps(n,p'?). 
证 明 Sarat Ps. 由 于 2(1 6) 之 1, 我 们 有 


` l- \2 l 
s(n, p) -S3 ei(y+p z) n/p 


y=1 


当 p>2 时 ， 即 为 所 求 ; 当 p=2 时 ,由 于 


p Si ry n/p S ry n/p” , 
亦 得 所 求 。 
由 上 述 讨论 , 仅 需 研究 下 述 Gauss 和 : 
s(n,2), s(n,4)， s(n,8)， s(n, p),p 为 奇 素数 . 
定理 4.14 车 21n, 则 
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s(n,2) = 0, s(n,4) = 2114+ i"), s(n,8) = 4e}. 
证 朋 
s(n,2) =1 + e7 = 1-1=0; 
s(n,4) =1 + edt tei] ea 
=1+i7+1+i" = 2(1 +i"); 
s(n,8) =2(1 + eon 4 eda + eg 9n) 
= 404" 
定理 4.15 #p 为 奇 素数 , 则 
_ {2 _ {2 
s(n,p) = (7 )s(1,0) (2ko, 
-(4@ 
其 中 x(a)= (4 ). 
证 明 方程 =u (mod pp) 的 解数 为 1+ +) i 
2 p 
Qniz n/p _ u 2niun/p 
s(n, p) = SNe = di(1+ (4) )e 


z=1 u=1 


L(a = (FÈ (pee 
定理 4.16 


_ DB) 2riv/p _ Vp, p=1 (mod 4), 
sp) = D (4)e Pp (ee p=3 (mod). 


v=1 


(证 明 从 略 ) 
习 题 四 


4.1(Fermat 问题 ) 24 2>>3 时 ,不 定 方程 tt y= oY 无 整数 解 . 试 证 
Fermat 问题 即 为 求证 ， 


K den")? ( et" da = 0. 
0 z=1 z=1 
4.2(Goldbach 问题 ) 任 一 偶数 ( 之 2) 可 表 为 两 个 素数 之 和 . 试 证 Gold- 
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bach 问题 即 为 求证 : 
fem je >0 


PpE2N 


其 中 求 和 号 中 的 p IRIN 的 素数 . 
4.3 tt(n,m)=1, 
s = en) (eer, 
x=0 y=0 
a aa 
| êl) 12 = Xo >) | (ly) P = Yo, 
y=0 
试 证 : 
SILV XoYom. 


第 五 章 E 分 数 


$5.1 简单 连 分 数 
分 数 
agt 1 
aıt 1 
az 十 1 
gn 1 


称 为 有 限 连 分 数 . 当 N = oo 时 , 称 为 连 分 数 ,下 面 将 证 明 连 分 数 确 
实 是 一 个 数 ,为 了 书写 方便 ,上 述 分 数 常 以 


[ao,alyaz，…aN] 
表示 , 易 见 
[ao] = Pfa0sa] = VHH, 
[ao;a1;a2] _ 424149 + ag 十 ao 
aza; +1 
通常 写 


[ao,ai，…,an] = 2 o< nN, 
Par Qe Bags ais san 的 多 项 式 ,加 称 为 [ao,al,…，,aN] 的 第 n 
个 渐 近 分 数 . 
定理 $5,1 渐 近 分 数 间 有 关系 
bo = ao, fi = ayant i, 
Pu = anpn-1+ pa-2 (2S n <N); 
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go= ls qi=a qa = angna- t Gra (2BEn<N). 


_ Pin _ AmPm-1 + Pm-2 
[ao,ez，…am] 一 一 


Qn QmQm-1 + Qm-2 , 


则 
Zoo [9,015 sams Amst] 
Qm+1 
a] 
= a19" sam 十 
[20 1 e am+1 
Qn m-1 + Pm- 
人 a z)? 1+ Pm-2 
mani) 
m + m- + m— 
(a Qm+1 am-1 4m 
— Qm+1(ampm-1 + Pm-2) + Pm-1 
Am+1(QmGn—t + qm -2) + Qm-1 
_ Im+1Pm + Pm-1 
Am+idm + Gm-1 , 
即 证 . i 
定理 5.2 p, 5q, EF 
Prdn-1 T Pa-19n = (-1)""7, n=l, 
Bp 
Pn _ Pn-1 — (一 1)" -1 
Gn ni qndn-1 ” 
及 . 


Pnan-2 ~ Pn-24n = (- 1)%a,, n = 2. 


(5.1) 


(5.2) 


证 明 ”=1 时 ,(S.1) 式 显然 成 立 . 利 用 归纳 法 及 定理 5.1: 
PrQn-1 T Pa-19n = (anPn-1 + Pn-2)Qn-1 7 Pn-1(@nQn-1 + Qn-2) 


二 一 (Pn-19n-2 7 Pn-29n-1) = (- 1)™1. 


又 由 定理 5.1 及 (5.1) 式 可 得 


PnQn-2 一 Pn-29n = (anpn-1 + Pn-2) qn-2 一 Pn-2@nQn-1 + Qn-2) 
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= Gn (Pn-19n-2 ~ Pn-29n-1) = (-1)"an, 

证 毕 . 

若 ag 为 整数 ,ai ,az,，… 为 正 整数 , 则 

[aoaia] 

称 为 简单 连 分数 , 本 章 中 我 们 仅 讨论 简单 连 分 数 ,由 定理 5.1 及 定 
M 5.2 易 得 . 

定理 5.3 对 于 简单 连 分 数 ,我 们 有 

(1) 3 n>1, A) q,2an-1+ 1, queen; 

(2) Pont) < P2n-1 Pons, P2n-2, 


d2n+1 qd2n -1 q2n G2n -2” 
(3) ps/qn ARATA. 


证 明 (1) 显 然 ,由 定理 5.2 的 (5.2) 式 可 证 (2), 由 (5.1) 式 可 
推 得 (3). 证 毕 . 


$5.2 用 连 分 数 表 实 数 


& a 为 一 实数 ,我 们 可 以 通过 下 述 方法 得 到 一 个 连 分 数 . 取 


ao=[a], 令 


ai = step a= [oa 
再 令 

a = Ty: az = [lad]; 
继续 此 法 , 令 


z — 1 — 7 
r a leal a, = [as]. 


如 此 ,得 到 连 分 数 [a0,a1,a,,…], 现 在 我 们 要 考虑 的 是 此 连 分 数 
与 a 有 何 关系 ,在 讨论 这 个 问题 之 前 , 先 来 看 一 个 特例 . 


设 a = 也 为 有 理 数 ,由 于 ay = [2 | Bim p= aog+ ri(0<ri 
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-1 
<4), ai= | 二 -aa =~ aR g=aintrn(0<r<r1), 
q ri 


an= 7 依次 类 推 ,所 以 求 a 所 对 应 的 连 分 数 的 过 程 实际 上 与 驾 
转 相 除 法 一 致 且 


a = [ao,a1] = [ao0,a1ya2)| = … = [ag,a1,°", an], 
a 可 表 为 有 限 连 分 数 . 
回 到 一 般 情况 , 设 a 为 任 一 实数 , 按 上 述 方法 求 得 其 对 应 的 
连 分 数 为 [a0 ,a1,a2,… ] ,这 是 一 个 简单 连 分 数 , 以 a, = [co,…， 
an | 表示 其 第 ”个 渐 近 分 数 ,由 定理 5.2 可 知 
ag<ar<ag<i <a, <, 
ai > a3 > a5 > °° > any >, 
而 
a1 > a2n+l > a2n > ag, 
FY LB BUF IY | aon +1 | SHRIMPS a, | RARER. 又 由 于 


DP2nt1  P2n 


| a2n+1 一 A, |= 
F2nt+1 Q2n 


1 1 
= < > 
qg2nq2n+1! ` 2n(2n +1) 0, 


故 
limazn+1 = lim az,- 

这 里 ,我 们 实际 上 证 明了 任 一 简单 连 分 数 的 渐 近 分 数 都 收敛 于 一 
个 实数 .进一步 ,将 证 明 此 极限 就 是 a( 当 al,a,… 为 正 数 时 ,由 
上 述 推论 可 知 ,[ao,aivaz,…] 的 渐 近 分 数 也 是 收敛 的 )， 

定理 5.4 Ra 为 任 一 实数 ,我们 有 

dnQ 一 Pn = CDa, ,0 < Ôn < 1, 

(车 a 为 有 理 数 ,此 式 仅 当 1S n<N-2H MS, Oy =1.) EB 
6n/qn+1 为 一 递减 序列 . 

证 明 我们 有 
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a= [ao,a1] = [ao0,a1,a2] = lapsai, sah] = 


由 于 


Pn QnPn- 1+ pn-2 
= [aoa sa ] = = 一 Ma Ln-2 
an Lao, 1? au QnGn-1 + Gn-2” 
故 
1 
a, 十 一 Pn-1 + Pn-2 
a n+i 
a =[a9,a1,"",a, + 7 |= 
Cn+l (a + ) + 
n Qn4] Qn-1 Qn-2 


_ Qat1(anpa- 1 十 Pn- 2) + Pn-1 On+1Pn + pn-1 
` C Qatil angna- 1+ an- 2) + Qn-1 Qn+lGn + Qn-1 , 


因而 
Pn _ QnPn- 1 二 Qn-1Pn _ — 1)” 
(7 一 > vv 一 
Qn ~ Gn(On41 Qn + qn- 1) qn (Qn+1gn + Qn- 1) 
故 


G = Qn+1 — Cn+ldn + Qn-1 
n— 7 + 一 ’ + ’ 
Q n+ldn Qn-1 An+19n Qn-1 


所 以 除 ano1= 0,125, BA O< 3, <1, XB a, =a, + zo 
知 


E 、 1 
三 一 之 
drn+l Cn+lGn 十 Qn-1 (an+1 + 1)q, + Qn-t 
1 1 
Qn+1 + Qn 7 Cn+29n+l + Qn 


1 > On+1 
Qn+2 7 Qn+2 , 


证 毕 . 
由 定理 5.4, 立 即 推出 
定理 5.5 Ho 为 无 理 数 , 则 
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定理 5.6 


ja bac < 
Qn dndn+1 an 

例 ” 试 将 /3 表 为 连 分 数 . 
1 _VY3+1 


ao = V3] = Lai = Bo 7 
z + 2 
a, =[a1] = 1,4) =A] 


= /3 + 1,a2 = 2,403 = 


1 , 
所 以 V3 = [1,1,2,1,2,…] 称 此 类 连 分 数 为 循环 连 分 数 ,可 以 证 
明 ,a 可 表 为 循环 连 分 数 的 充分 必要 条 件 是 a 适合 一 个 整 系数 的 
二 次 不 可 约 多 项 式 . 


$5.3 最 佳 渐 近 分 数 


在 分 母 不 超过 M 的 所 有 分 数 中 ,与 a 最 接近 的 分 数 称 为 a 的 
最 佳 渐 近 分 数 . 由 a 的 连 分 数 展开 式 所 得 到 的 渐 近 分 数 都 是 最 佳 
渐 近 分 数 .具体 地 说 ,我 们 有 

定理 5.7 设 n2=1,0<qXq,,8 p/q Ppo/Gn MI 
haje a 
故 在 分 母 不 大 于 g, 的 分 数 中 ,p,/g。 与 a 最 接近 . 

WERA 若 能 证 明 

| Pn- a9n|< |p- aql, 

则 定理 已 明 . 由 定理 5.4 知 | p,- ac,| 是 递减 序列 . 


(1) Has Lal + 3 WÊ = a HY m= 1 时 成 立 . 
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< 


’ 


(2) 若 oe<[a]+ 方 , 则 名 =[a],[a] 是 离 。 最 近 的 整数 ,g0= 
1, 故 定理 当 n=0 时 成 立 . 
GJE a>[a a]+ 方 , 则 1<- + gute] <2 a= 1 全 =[e]+ 


1,qi=1 全 是 离 a 最 近 的 整数 , 故 定理 当 n=1 时 成 立 . 
ene, 4 0< Sqn -13 P/E Pn -1/dn 1 A 
| Pn-1 ~ @qn-1| < |p- aql, 
由 于 | pa- agn |< | Pa-1- 0qn-1|, MAREE q,2¢>a,-1,8 
Pndn-1 ~ Pn-19% 二 (一 1)”, 故 方程 组 
人 + vpn-1 = P, 
Ugn + vqn-1 = 9 
有 解 
u =+ (pqn-1 ~ qb 1)， 
v =+ (gp, — pq»). 
HF O0<q,-1<q<q,,u 和 w 不 能 都 为 正 数 . 若 v=0, 则 p, /gq 
= p/g, 与 假设 矛盾 .所 以 u 与 v 一 定 是 一 正 一 负 . 由 定理 5.4 知 
Pn ans pn-1 — Qqn-1 


也 是 一 正 一 负 , 故 
UC Pn — agn), UC Pa-1 — aq 1) 

同 号 ,由 

P -ag = up, + upr- ~ aC Udy + UGn-1) 

=u( pa — aqn) + vl Pa-1 — aqn-1) 

可 知 

|p -agl > | bri -= aGn-1| > | Pn — aqn |. 
证 毕 . 


$5.4 Legendre 判别 条 件 


定理 5.8 a 的 二 个 连续 的 连 分 数 中 至 少 有 一 个 适合 
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-2| 4 
a q < 3g 


证 明 由 定理 5.4 Be GEA aA a 大 ,有 一 个 比 


a 小 , 故 
Pn _ Parij _ Pn ale Bast -| 
Qn Qnt+1 Qn Qn+1 
若 定理 不 成 立 , 则 有 
1 Pn Pati 1 1 
= | Pn _ >b + , 
QnQn+1 Qn Qn+1 7 2q2 29241 


BIC gnti ~ Qn ) 委 0, 这 是 不 可 能 的 ,定理 得 证 . 
当 a 为 无 理 数 时 ,可 知 有 无 穷 个 分 数 p/q ,使 


_bie L 
1q |< 2q? 
考虑 相反 的 一 个 问题 ,我 们 有 
定理 5.9 车 有 一 有 理 数 p/g 适合 


-也 | A 
a q < 39: 
RM p/q 必 为 a 的 渐 近 分 数 ， 
证 明 $ 
ô 1 
a-i =o «=+1, 0<d<5. 
将 p/g 展开 为 有 限 连 分 数 


p/q = [laoai san] = Pa-t/Gn-t 
但 这 种 连 分 数 展开 并 不 是 唯一 的 , 当 c。; >1 时 ， 
[aoai an 1] = [ao,al,…,a。 1 一 1,1], 


当 a,-1=1 时 


[a0,a1,…, an_1], = [ao,ay5"*,a,-2 +1], 
所 以 总 可 以 选择 ” ,使 .=( 一 1)"-1.(5.3) 式 成 为 
a- Pn-1 = 6 
Qn-l -ai 


(5.3) 


由 下 式 定义 £: 
l Pn-1B + Pn-2 
=o, 5.4 
® Qn-1B + qn-2 ( ) 
因而 
(— 1)" 16 一 人 — Pn-1B + Pn-2 _ Pn-1 
g- q- Qn-1P + Qn-2 Qn-1 
= 一 (pn_1qn_2 Pn-29n-1) 
qn-1( qn-iB + qn-2) 
_ 《一 1)"7! 
qn-1( qn-18 + Qn-2) , 


由 此 推 得 
1 1 
Qn-1B + Gn-2 < 29n-1 


因此 
Qn-1B > 24n-1 ~ Qn-2 > Qn-1+ 
所 以 6>1, 由 (5.4) 式 可 知 


a = [ao,cl，……an_ 18]， 


可 见 
B a BEI = lasanan] 
是 a 的 渐 近 分 数 , 证 毕 . 
习 题 五 


5.1 FRI | en} 21,1,2,3,5,8,13,21,-+-( uy = up =1, we = u; tuali 
> 了 )) 称 为 Fibonaedi 序 列 , 试 证 "= 立 (1+Y5) 的 第 ”个 渐 近 分 数 为 2 

5.2 (1) 已 知 圆周 率 x= [3,7,15,1,292,1,1,…], 试 求 x 的 前 6 个 渐 
近 分 数 , 由 此 可 见 ,祖冲之 得 到 的 玖 率 光 及 密 率 355 都 是 渐 近 分 数 . 

(2) 在 分 母 不 超过 113 的 分 数 中 ,没有 数 比 其 5 更 接近 x. 
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5.3 设 
人 mt) 人 [的 (* B 
= eee : n> 1, 
dn n-i 1 0 1 0 1 0 


Pu 
Qn 


5.4 证 明 若 ao=0,ai=1, 且 对 n=22,a,=2a,-1 + an -2 那么 


(1+yv2)7-(1-vV2)” 
an = 。 
242 


证 明 


= [ao,at，…an]。 . 


* 70 ， 


第 六 章 代数 数 域 


代数 数 域 是 代数 数论 的 研究 对 象 ,代数 数论 的 起 源 可 追溯 到 
Gauss 研究 二 平方 和 问题 时 涉及 到 的 Gauss 整 环 Z [i 和 Kummer 
研究 Fermat 大 定理 时 涉及 到 的 分 圆 环 Z [ 多 ] , 它 的 大 部 分 经 典 理 
论 产生 于 19 世纪 .20 世纪 70 年 代 以 来 ,许多 公 钥 密码 体制 的 产 
生 和 各 种 相应 攻击 方法 的 出 现 , 不 仅 利 用 了 代数 数论 的 理论 ,而 且 
促进 了 计算 代数 数论 学 科 的 发 展 . 目前 ,有 限 域 上 离散 对 数 问题 和 
大 整数 分 解 问题 求解 的 最 好 算法 是 数 域 得 法 , 它 涉 及 到 代数 数论 
的 许多 结果 . 本章 的 目的 仅仅 是 介绍 一 些 代数 数论 的 基本 理论 HF 
于 理解 $ 10.5 中 的 数 域 筛 法 . 且 一 些 习题 附 在 相关 的 内 容 中 ,而 
不 再 单独 列 出 ， 


$6.1 代数 整数 


有 理 数 域 Q 的 一 个 有 限 扩张 K , 称 作 代数 数 域 . 由 本 原 元 素 
定理 可 知 ,K 一 定 是 单 扩张 ; 即 K =Q (0). f(z) 是 9 的 极 小 多 
MA, H deg f(x)=n, 显 然 K=Q(90)=Q[z]/A(f(zx)). 故 将 KK 
看 作 Q 上 的 n 维 线性 空间 ,1,0,… ,9-! 是 其 一 组 基 . 

f(z) 在 复数 域 C 上 完全 分 解 


f(x) = I - 0.). 
由 于 复 根 成 对 出 现 的 ,可 设 f(z) 有 ri MEAR, ro 对 复 根 ,那么 4 


= 114272. WX 6) 1<;<w 重 新 排序 ,不 妨 设 
0,0, ER, 


G+? On EC \R,H 
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OH = n ASIS r2),n = rı +2Ê2ra. 
S o EKK; = Q (0) WIR, Si Sn, Xt K PER n 
个 元 素 a1,…,a, , 称 
dxlay,°,a,) = det(a;(@;))fei, je 

为 元 素 al,…, a, 1 的 判别 式 .特别 和 {1,06,…, | HARI th 
WE f(z) 的 判别 式 , 记 作 ACS). 

BW fla) =at + ca-ti + co MA f(x) = dxt + -e 
+ cl 定义 res( f, f ) AE 


1 Cai c Co 
i Cay 
_ l ¢,, Co 
d (d-l)c c, 
d 


d (d-)e od 
的 行列 式 , 称 作 f 入 的 结 式 ,可 证 (习题 6.1): 
A(f)= IT (0;- 6) 


I<i<j<n 
= (-1)"> YEUNG) 
=(- 1)? Lres( f, f). 


Hh LK /Q WHER. OCLEK. K 看 作 工 -线性 空间 ,对 
任意 <E 天 ,定义 工 -线性 变换 
了 :天 一 ~ 开 ， 
`. pra-B, 
称 此 线性 变换 的 范 和 迹 为 a 的 范 和 迹 , 分 别 记 作 Nga Ca) 和 
Txz(a) .在 取 工 = 办 时 ,常用 N,T 分 别 记 作 Nuea, Ti 可 以 
证 明 Nka AI Tx 满足 下面 性 质 (习题 6.2): 
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1. 对 任意 a,BEK, 
Ngala) = Ne (a)Nx(B), Tx (a+ 8) = Trala) 
+ Tga (B). 
2. 对 于 aEL,Ngala)= ð, Tkı(a)=d'*a, $P d= 
[K:L]. 
3. 设 Q 和 MSLCK 是 数 域 链 , 对 于 «€K, 
Naa) = Nim (Nx(@))  Tkm(a) = Tr ( Tk (@)) 
4. N(a) = |] o;la), Ta) = Daile). 
引 理 6.1 Fa K Ka 的 极 小 多 项 式 为 
f(x) = a4 ar ++ + (-1)4%ag € Qi zl], 
则 N(a)=a4,T(a)=Fa, 
证 明 $ L=Q (a), MBA 
Nxola) = Nio( Nk/ (a)) = Ny elad) = Nia(a)d， 
Ta(a) = Trl Tx (a)) = TL( 42) = 4 Tra(a). 
因为 {1,a,… ,od -二 是 工人 从 的 一 组 基 . 


0 10… 0 0 
S 0 o1- 0 off? 
a a : Dorf. : a 
atj a j=]. J= : 
it 4 ` 1 1 
a a (= 1)4t aye ee ay aad C 
因此 
0 10… 0 0 
0 01i = 0 0 
NL la) = det : Pics bf ftl=a, 
: : 1 
(— 14+lay … 一 ay ai 


Tala) = ai, 证 毕 . 
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BIA dx (Qi,…, a)==det(Tr(aia;)) 是 一 个 Q 上 的 n B 
方 阵 的 行列 式 , 且 可 证 |a1,…,a,j} 是 一 组 Q - 基 当 且 仅 当 dgk (aj， 
…， oz) 天 0( 习 题 6.3). 

首 一 整 系数 多 项 式 的 根 称 作 代数 整数 , 易 证 一 个 代数 数 是 代 
数 整 数 当 且 仅 当 其 极 小 多 项 式 是 整 系数 多 项 式 , 不 失 一 般 性 ,我 们 
可 以 要 求 K 的 生成 元 9 为 代数 整数 (习题 6.4). 以 后 均 在 此 条 件 
下 讨论 .显然 代数 整数 的 范 和 迹 是 整数 ,特别 一 组 代数 整数 ci， 
5a, 的 判别 式 dk (al,…,a,)EZ. 下 面 给 出 代数 整数 的 其 它 一 
些 刻 画 . 

定理 6.1 对 aEC( 复 数 域 ), 下 面 几 个 条 件 相互 等 价 

(1) a 是 代数 整数 ; 

(2) 环 Z[a] 是 有 限 生 成 Z- 模 ; 

(3) a 是 C 中 某 个 非 零 子 环 RR 中 的 元 素 , 并 且 RR 看 作 Z - 模 是 
有 限 生成 的 ; 

(4) AAR A RZ HACC ,使 得 ACA. 

证 明 (1) > (2) 因为 a 是 代数 整数 ,由 定义 可 知 ,任意 
a™(m 之 0) 者 能 写成 1,a,…,as-! 的 整 系数 的 线性 组 合 ,其 中 d= 
[Q (a):Q j], 故 Z[a] 是 有 限 生成 Z - 模 . 

(2)=>(3) RR=Zl[a]. 

(3)>(4) RA=R. 

(4)=(1) BA =Za t= +Za, ,因为 aACA, 所 以 存在 整 
系数 矩阵 M ,使 得 


即 
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于 是 a 便 为 首 一 整 系数 多 项 式 det( zl, —M)=0 的 根 , 证 毕 . 

由 定理 6:1 可 推出 所 有 代数 整数 构成 一 个 环 (习题 6.5) ,将 
K 中 所 有 代数 整数 构成 的 子 环 记 作 Ox, 容易 证 明 OKNA =Z 
(习题 6.6) , 即 aE Q 是 代数 整数 当 且 仅 当 a€ Z. 

引 理 6.2 设 K=Q(0),0 的 极 小 多 项 式 f/(zx)EZ[zx], 令 


Ez) = Bt pet + Baw, REK, 


bo Bn-1 4 _ 
MAE CGY: 了 AQE, E 
r(¢ AAs )= 0 = [ei 
o Hh) 0, 若 i 关 j. 
证 明 设 f 的 所 有 不 同 的 根 为 91,…,0, ,那么 对 任意 OS r< 
n-i, 
二 _ fl r) 0; r 
g(x) = 之 (x a) FCG) 一 x 
是 n 一 1 次 多 项 式 ,然而 容易 看 出 901,… ,90, 仍 是 g(x) 的 根 , 故 
CA 
Dhr = x" 
比较 两 边 x 的 系数 


90 
7 (9 )- ree a re 
毕 . 
引 理 6.3 Wi 


. Ba-1 _ Z0 
AON TO = FOY 


a= aot + + ay Be, a, EQ. 


Ok GZ Zr 
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由 引 理 6.2 可 知 a; = Tla), ONi<n 一 1, 故 由 引 理 6.1 知 a;€ 
Z .比较 等 式 f(x) = x" + a,x" t tag= (a> 4) (Pot fix 
tet 2,107!) PI 2 1<i<n) MRM, 

Bn-1= 1, 

Bn-2= O + ay-1, 


Bn-3= g + an-10 + Qn-2， 


Bo= O! + a + + 29 + ay, 
WZBo+ e +ZB,-1=Z16], UE. 
定义 6.1 K 的 一 个 阶 (order) 是 K 中 的 一 个 子 环 , 且 看 做 
Z- 模 是 维 数 为 n 二 [K:Q ] 的 自由 模 . 
我 们 引入 一 个 Q -向 量 空间 K 上 的 双 线性 映射 
<, >:K x K—>R 


(z, y) => Dale) oly), 
上 式 右 边 常 记 作 < xz,y> .由 此 诱导 出 K 上 的 长 度 函数 
L:K—R O0 
xm >< r,r >. 
取 定 开 Hia an, 设 z = Dra L 变 成 了 一 个 正定 二 
次 型 


Ti 
L(x) = [zi,…, ra]A 


> 


Tn 
其 中 A = (<a;,0;>)i<ij<n .特别 将 系数 zi, ,zw 限制 在 Z 中 ， 
n 维 自由 Z - 模 M = Zai t+ Za, 和 L 一 起 看 做 一 般 意 义 下 的 
格 ,此 格 的 判别 式 为 4(M) = det(A 六 ,注意 到 , 若 a1,…,a, 均 是 
代数 整数 ,那么 d (M)? = det(A) = | drla san 1 EZ (习题 
6.7). 
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引 理 6.4 Ok 是 KK 中 的 最 大 阶 . 

证 明 取 中 一 个 阶 和 A,Ya€ A, AW ah 己 A, 由 定理 6.1 
(4) 可 知 a€ Ox, BY A 己 Ok. 现 证 Ok 是 维 数 为 n 的 自由 Z - 模 . 
设 

S = [MZ Ok | M BÈRO n 的 Z - 模 } ， 
因为 Z10]ES, 所 以 SAS. RAW d(M)? 是 正 整数 ,所 以 一 定 
存在 人 =Zal +… + Za, € S 使 得 
d( A) = minjd(M)I ME S}. 
断言 人 = Ok ,否则 存在 a€ Ox \ 人 , 令 


n 
az Saja; a; €E Q, 
i=1 


必 存 在 a, EZ ,不 妨 设 a,€Z , 即 ai=La;]+r,0<r<1,rEQ. 
Sa =a-lailaE Ok,a1=a ,Qi 三 oj2 委 ; 委 ”. BRAZ: 
t+ Za, €S, ii d(N)=rd(N)<d( A), XAA HERB, | 
以 后 称 Ok 的 一 组 Z - 基 为 K 的 整 基 . 注意 到 对 K 的 一 个 阶 
O 的 任 二 组 基 { a ,… ,a,i , |B1,…,B,| ,一 定 存在 整 系数 的 可 道 算 
阵 M( 等 价 det M = +1) 使 得 


A 
=M.» : 


H dglai, ra ]= (det M)?dk[ Bi,*…,B,] = dk[8 ,8 ], 即 
此 整数 对 基 的 选择 无 关 , 我 们 称 此 整数 为 O 的 判别 式 , 记 作 
ak(O). 特 别 天 的 任 一 组 整 基 的 判别 式 称 作 K 的 判别 式 , 记 作 
Ax. 

1. (习题 6.8)V TACI = / TA | (Ox: Z 001]. 

2. (习题 6.9) 求 二 次 域 的 整 基 . 


ay 


9» 


Qn 


$6.2 Dedekind BH 


S R 是 一 个 含 么 交换 环 . 

定义 6.2 R W Noether R, œR R 的 每 个 理想 都 是 有 限 
生成 的 . 
Noether 环 的 等 价 条 件 (习题 6.10): 下 列 条 件 是 等 价 的 

(1) R 是 Noether 环 ; 

(2) R 的 理想 升 链 一 定 有 限 BD 

AZ e CA, Ce 

是 R 的 理想 链 , 那 么 一 定 存 在 bh EN 使 得 w = a= 

(3) R 的 任意 一 个 由 理想 构成 的 非 空 集合 一 定 有 极 大 元 . 

定义 6.3 HERR 称 作 整 闭 的 ,如 果 RR 的 分 式 域 K 中 任 一 
个 以 R[xzj 中 某 一 个 首 一 多 项 式 为 根 的 元 素 一 定 在 民 YP. 

定义 6.4 ŽIR R 称 作 Dedekind 整 环 , 如 果 R 满足 如 下 三 
个 条 件 : 

(1) R 是 Noether 环 ; 

(2) R 中 每 个 非 零 素 理想 一 定 是 极 大 理想 ， 

(3) R AAA. . 

定理 6.2 设 A 是 K 的 一 个 阶 ,那么 ,A 是 Noether 的 , 且 任 
一 非 零 素 理想 一 定 是 极 大 理想 ,特别 Ok 是 Dedekind 整 环 . 

证 明 任 一 140 是 A 的 理想 ,因为 A 是 n 维 自由 Z- 模 , 故 
1 看 作 Z - 子 模 ,也 是 自由 模 , 且 维 数 < .然而 对 A 的 任何 一 组 基 
Ql ,Qn, 取 0 关 rE€1, 那 么 rai, ra, 是 I 的 一 个 Z -线性 无 关 
组 , 故 I 工 也 是 一 个 维 自由 Z - 模 ,将 其 看 作 A - 模 显 然 是 有 限 生 
成 的 , 即 A 是 Noether 环 . 再 由 Abel 基本 定理 可 知 ,A/T 是 有 限 
i REA I =p 是 素 理想 时 ,A 力 是 有 限 整 环 ,因此 是 域 , 故 bp 是 
极 大 理想 . 现 只 需 证 Ok 是 整 闭 的 , 任 取 a€ K 满足 :ad + cya?! 
tot cg = 0,30 cE Ox, 1Si<d.4 R=Z[e,°",c7] EH 
cists cq 生成 的 Ok 的 子 环 , 显然 作为 Z - 模 是 有 限 生成 的 , 且 
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R[a]=R+ Ra+… + Ras-! 作 为 Z - 模 也 是 有 限 生成 的 ,由 定理 
6.1(3) 知 a E€ Ox ,证 毕 . 

上 述 证 明 过 程 表明 ,A 的 任意 一 个 非 零 理 想 I 都 是 n 维 自由 
Z- 模 , A 的 任 一 组 Z - 基 的 判别 式 定 义 为 A 的 判别 式 , 记 作 
d(A). 

Ba A 的 一 个 理想 , 商 环 A/ 是 有 限 环 , 称 | AA| 为 a 的 
范 , 记 作 N(a),4a=p 是 A 的 一 个 非 零 素 理想 ,A 必 是 有 限 域 ， 
存在 唯一 的 素数 和正 整数 e ,使 得 

Af = Fy, 
e=[ A/p: Fp FRIE p 的 次 数 , 记 作 deg(p), | A/p] = pe? 

(习题 6.11) :理想 的 范 映射 N 满足 

(1) IN(z)|= N(xzA), 特 别 A = Or 时 ,NN 还 满足 ， 

(2) N(a:b)= N(a)N(b), 

(3) dx(a) = N(a)?Ax. 

定理 6.3 Dedekind 整 环 中 任 一 个 非 平 凡 理 想 能 唯一 (不 计 
顺序 ) 表 示 成 一 些 素 理想 的 乘积 , 

证 明 参见 文献 [51]. 

令 (Ok) 为 Ok 中 的 全 体 非 零 理想 构成 的 集合 , I"( Ok) 中 
的 每 一 个 元 素 工 均 能 唯一 写成 素 理想 的 乘积 , 即 

I = popp. 
显然 1(Ok) 对 于 理想 的 乘积 构成 一 个 交换 的 含 么 半 群 , 且 满 足 
HAE. 
设 素数 p ,在 Ok 中 提升 获得 的 理想 
pOxk = Pig 
HITE e; 关 1 AKiKg), K p EK 中 分 歧 , 和 否则 称 p 在 K 中 不 
分 歧 . 

定理 6.4 设 HEB, K 为 代数 数 域 , 则 p EK 中 分 歧 当 
HAX plAk. 

证 明 参见 文献 [51]. 
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Xt Ox 的 任 一 素 理 想 pb, 定义 映射 vy: (Ox) —> NU 10}. 
vp( 了 ) 表 示 在 I BARAT p 因子 出 现 的 个 数 ,显然 v, 是 半 群 同 
态 , 且 [可 写成 

I= TT pe. 

HPS ARR r O ) 满 足 消去 律 ,可 将 天 (Or ) 扩 充 成 一 个 
群 . 具 体 地 ,在 大 (Org)x 大 (Ork) 中 定义 一 个 关系 ~ (A, B) ~ 
(C,D)4 Ai BC= 4D ,可 证 一 是 等 价 关 系 , 且 

I°(Ox) x PCOn)/ ~ 


是 一 个 群 . (A,B) 所 在 的 等 价 类 记 作 全 , 取 B 中 的 一 个 非 零 元 a ， 
HF (a)OB ,那么 一 定 存在 理想 CE T° (Ox ) 使 
BC = (a). 

这 样 ,a 会 E1"(Ok). 下 面 将 会 赋予 实际 含义 . 

定义 6.5 K 的 一 个 子 集合 下 ,车 满足 存在 a€ Ok 使 得 aF 
是 Ok 的 理想 , 称 下 是 KK 的 分 式 理想 .全 体 分 式 理想 构成 的 集合 
为 WOK). VA Ok 中 的 理想 也 称 整 理想 ,任意 zE K* ,xOk 称 
作 主 分 式 理想 . 
容易 证 明 

I(Og) = P’'(Ox) x (Og) ~. 
这 样 vy 自然 可 以 提升 到 从 I(Ok) 到 2Z 的 一 个 群 同 态 , (Ox ) 中 任 
一 个 分 式 理想 下 ,有 如 下 唯一 表示 
F= [[ or. 

将 从 K* 到 I(Ox)(:2+-~>20, ) 群 同 态 和 Vy 结合 , 仍 记 作 vp; 便 
可 视 vy 9 K “一 >Z 的 一 个 群 同 态 , 且 满足 性 质 : 对 任意 EK", 
几乎 对 所 有 v,( 除 了 有 限 个 外 ), 均 有 v(x) =0, N(x) |= 
ING)». 同 态 vy 也 称 作 K A) p-adic 赋值 . 

定义 6.6 令 P(OK) 为 主 分 式 理想 构成 的 一 个 集合 , 称 商 群 

I(Ox)/P(Ox) 
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AK 的 类 群 , 记 作 C1(Ox). 

对 于 K 的 一 个 理想 a 一定 是 n 维 自由 Z - 模 ,函数 工 实际 上 
给 出 了 a 中 元 素 的 一 种 "长度 " ,事实 上 , (a, 工 ) 是 一 般 意义 下 的 
格 .我 们 用 如 下 映射 可 将 它 看 作 R A || + | 意义 的 格 (参见 附录 


§ A.5), 定 义 
o: K —~>R” 
a (aD, an) v2 Relat), „2 Relat), 
V2 Im(a*P) , e N2 Imat) ). (6.1) 


Re( RR WER, Im RR KERB, a IE ola), TAK 
验证 o 是 群 的 单 同 态 ,进而 (ol(a), || - E R* 中 的 一 个 格 , 且 满 
Æ 

1. L(a)= || ola) 1l2; 

2. d(a)=d(o(a)) , BPA a 的 判别 式 等 于 格 c(o) 的 判别 
式 的 平方 (习题 6.12). 

引 理 6.5 ”类群 CI(OK ) 中 的 任 一 个 理想 类 , 均 包 含 一 个 整 
理想 a, 使 得 


N(a) < -L27 VTAKT 
n2 


WEAR 对 任意 FEC(Ok),FET(OK), 取 一 个 整理 想 ne 
Folie a= Za, +++ + Za, , BBAR o(a) = Zoa, ++ + Zoa,,. W 
Z1 Ly 是 格 o(a) 的 一 组 L? - 约 化 基 , 由 附录 定理 A.3 知 

Il z, 1? <27 d (ola). 
又 因为 存在 Bp1 Ea, 使 得 zl = o(pi) ,再 由 算术 平均 值 大 于 等 于 几 
何平 均值 ,可 得 
I Tı | “= | a(fı) | 2 = L(Bi) 


= 210: B1) * oi(B1) 


n g n . 1 
= 2A? Sn: (TI ta? 12)” 


* 81 - 


= n | N(B) 1%. 
因此 


INDIS (Hatt)? <2 a(o(a)). 
n n2 


m dlola))=v d(a) = N(a)V |Ax|, 故 


|N(B1) |< n 2" N(a) v TAk]. 
因为 BEa, 即 (B81)Sa, 所 以 存在 整理 想 6, 使 得 a.6= (pi) ,那么 
N(a)*N(b)=N((B1))=|N(B1)|. 于 是 
N(b) = INEDI < ne? VTART 

证 毕 . 

事实 上 ,上 述 引 理 的 上 界 n 42 TY VTA RAE 
改进 ,最 著名 的 一 个 界 称 作 Minkowski 界 : 

Me = #2 (4) TEA. 

它 可 由 附录 定理 A.2 推 得 ,参见 文献 [51]. 

定理 6.5 类 群 C1(Ok) 是 有 限 群 . 

证 明 由 引 理 6.5, 只 需 证 明 对 给 定 正 整数 ,满足 N(a) = 
m 的 整理 想 只 有 有 限 多 个 .因为 m= N(a)= |OkA|, 所 以 mE 
a, 即 a 是 (mx) 的 因子 , 故 a 只 有 有 限 多 个 ,证 毕 . 

具体 求 类 数 hx 是 一 个 十 分 困难 的 问题 ,我 们 不 再 证 明 地 给 
HER. 

定理 6.6 

n-i 

hk S Mx (n= cen 

证 明 参见 文献 [27]. 

显然 hx =1 当 且 仅 当 Ok 是 主 理想 整 环 ,这 等 价 于 Og 是 唯 
一 分 解 整 环 (习题 6.13) .因而 hy 的 大 小 从 某 一 侧面 反 频 了 Or 
离 主 理想 整 环 的 远近 . 
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B Uk 为 Or 中 的 所 有 可 道 元 构成 的 乘法 群 ,由 Abel 基本 定 
理 知 
Ux = Wx X Fx. 
Wx 是 Ux 的 扭 子 群 , 即 Uk 中 的 所 有 有 限 阶 元 (此 时 即 为 单位 
根 ) 全 体 , Fx 为 Uk 的 自由 部 分 . 
引 理 6.6( 习 题 6.14) a€ Ok, 那么 
(1) aE Ux 当 且 仅 当 |N(a)|=1; 
(2) aE Wk 当 且 仅 当 对 任意 1 人 i 人 <n ,lo;(a)|=1. 
构造 对 数 租 入 映射 
t: Up Rnt 
ai> (Ajlog| a“ | Ji<i<r tr’ 


其 中 


i 


li<gi<n, 

SE n 
由 引 理 6.6 容易 看 出 4 是 群 同 态 ,ker l= Wg, H 
(Uk)CSC zis, Ener) ERR ate + Err = 0} SH. 
H EHEN, RER ryt or. —- 1,1 Fe Ug /Wk = Ug /ker (& 
(UR)EH. 

R” 的 一 个 加 法 子 群 D 称 作 离散 的 ,是 指 对 R" 中 每 个 有 界 子 
集 B, 均 有 |D NB|< + co. R" 中 的 任 一 离散 子 群 一 定 是 R* 中 革 
个 x-(0<<r 才 nn) 维 子 空间 中 的 格 (习题 6.15). 

定理 6.7 你 Uk) 是 一 自由 Z - 模 , 且 维 数 委 ri+ 75-1. 

证 明 断言 4(Ur) 是 离散 子 群 ,对 Rt "中 的 任 一 有 界 区 域 
BB x€ Ug) NB, x =a), a€ Ug. 

PAAR TE #8 BOM, E | a? | M(ASi<r,), Jal? P< 


M(ri+1<i<ri+ rz), 于 是 a 所 在 的 零 化 多 项 式 f(x) = T] (x 


~ a?) 的 各 个 系数 是 有 界 的 .而 这 样 的 多 项 式 只 有 有 限 多 个 , 故 a 
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只 能 取 有 限 个 值 , 即 | Uk) N BI<+ o. 

由 习题 6.14 知 (Ux) dt H 的 某 个 子 空间 中 的 一 个 格 , 即 
人 UK) 是 一 个 自由 Z - 模 , 且 维 数 科 ri+ rs 一 1, 证 毕 . 

下 面 我 们 要 说 明 4( Uk ) 中 存在 ri + rs 一 1 个 元 素 组 成 的 Z - 
线性 无 关 组 . 易 见 ,对 数 嵌 人 “可 以 扩展 定义 到 Ox E. 

引 理 6.7 + aE Ork, 设 人 a)=(al… art+m), 则 对 任意 k 
€ [1,…,rit+r2| ,存在 BE Ox 满足 ; 

(1) b;<a;,#% i#k, 


D INOIZ) VTA, 
其 中 UB) = (b1 5°77, +r,). 


证 明 不 妨 设 &=1, 记 = 是 (6.1) 式 的 映射 , 取 常 数 c; (21 
Sri tro) MEOE, 


cy = (e2*ener,) (2) VTA]. 
构造 凸 闭 集 
B = {(xy2,) E R*||ail<cogd<i< rı), 

a5 + thi S2e(rit 1 <j Cntr}, 
容易 计算 
(B) = 2 ccr tr, = 2" / | Ax] = 2" + d(a(Ox)) . 
由 Minkowski 定理 (附录 定理 A.2) 知 存在 BE Ok ,使 得 

0A 0(B) € BN o(Ox) ， 
HETE BO |< ci Kiri, 2 Re(P)? +2 Im(p)?<2¢,, 
Bp 
BP < ces ntl<i<ntn, 
BOT 21K, + rs, 推 得 . 
b; = Xilog| BY |< loge; < a;, 

且 


IN(BA I< cy “Critr, = (2) Ax], 
证 毕 . 
引 理 6.8 对 任意 E11,…,rit+7r2} ,一定 存在 uE Uk, 设 
lug) = (vist dr, 47) ,使 得 对 任意 ixk Ay; <0. 
证 明 ” 记 (L(a)); ER Ua A i 个 分 量 , 取 ciE Or ,重复 
利用 引 理 6.7 可 知 ,存在 Ok 中 的 一 个 序列 | oj>1 使 得 
(Haji): < Uaj) ik, jl, 
A 


| N(a “D1< (2 六 J TAx|. 


BEN (a; r1On)<(2) "VTE GED. 

由 定理 6.5 的 证 明 可 知 ,理想 集 { Ox | ;>1 是 有 限 集 ， 因此 存 
T j >h (843 0,0, = Op. BIFE ug © Ux ,使 得 w = on, FE 
(4a; )); = Wan) )i + Uur) BOT TAR A U ur)) <0, HEB. 

引 理 6.9 Hurst, 4, 2826.8 中 所 获得 的 元 素 组 ， 
ABA (dC rey) °° Cu, +) | ASA ryt rd. 

WERA WR Mui) = Cains s airnn) BB A = 
Cais i<injcr, 41., 除 了 对 角 线 上 元 素 为 正之 外 ,其 它 全 为 负数 , 且 
每 行 之 和 为 0, 这样 的 矩阵 秩 一 定 为 r+ r; 一 1. 设 A; 为 矩阵 A 
ae I1SiSri + 12,4 rank(A)<r, + 7. - 2,8) Aye, 

A, tr- EMR FEREN SHER a; 使 得 


3 aA, =0 


BE io BRE 1 a;||1Si<r, +r- 1) PRK FAR RAE 
€€ | t;|<1, iA ip, IXNi<r, + ro 一 1 使 得 


ritr2-1 


Aj, + > tA; = 0, 
i=1,i¥io 
考虑 第 io 个 分 量 得 
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rtro ritrml ritr 
ot tdi, i > Qia rig + 之 aj, yi > D ii = 0. 
=liFip =Liti, i=l 


矛盾 ,证 毕 ， 

定理 6.8(Dirichlet 定理 ) Uk 二 Wk XZ", 其 中 r=rit+r2 一 1. 

Fx 的 一 组 基 称 作 K 的 一 组 基本 单位 系 ,构造 基本 单位 系 是 
算法 数论 中 一 个 很 感 兴趣 的 问题 .由 上 述 引 理 6. 8 所 得 的 wu 是 通 
过 一 艇 Or 中 满足 下 列 条 件 (1), (2), (3) 来 获得 的 序列 
ar,jljen: 

(1) ak, 可 以 是 Og 中 任 一 非 零 元 , 常 取 ail; 

(2) Jaf} < | a | ik; [oti | | af); 

(3) INCar j ISC, C 是 某 个 常数 . 

而 wj 是 由 Minkowski 定理 的 存在 性 结论 得 到 的 . 因此 我 们 
希望 寻找 具体 构造 出 1a,;| 的 方法 ,用 简单 的 替换 , 令 B= 


SRL EDR OY AH |, HLL)’ (2) (3) 


(1) B= ds 
(2) | BQ +11 <1, 8% k; | BO |21, j>; 
BY Hin dl< C. 
我 们 用 格 基 约 化 算法 ( 见 附录 $A.5) 去 处 理 比 这 更 一 般 化 的 
问题 . 设 
R= Ox, 
= finnu Sly, ry + rat, 
I=1U [ro + i, | i, >ri,l<vpl} 
ltl =p, 
A 位 ri1+r \ 1, 
= (1,…,n} \Ii. 
REAME R ERREPI prahi Al n 维 自由 模 序列 
{Mi li 
. 86 . 


Bra = 1, Mi1 = R. 


1 
对 RAL, Prs © Mre Mies = 3 Mie BE 


(1) | BY kei | <1, jE, | Phe | S15 ES; 
D TING, DI <C( 常 数 ). 
具体 构造 Bir+1 之 前 , 令 rro= l, ri g+ = prerie BBA 


TLR _ _ THA _ 
Mr, z+ =t Mr, See = Mii = 
TI, k+1 TI, k+1 TI,k+1 


令 d 之 1 是 一 个 常数 (待定 1)， 
， -{" 车 jy Ej， 
” La， 车) EL 
RT] a; = 1, 定义 K 上 的 一 个 双 线性 型 


< z,y >, = Daye ， y07， 
j=l 
其 对 应 的 正定 二 次 型 为 
Lala) = Dala]? 
BR BAR a, an BA | =| 
ThRII<G< 
Mı AI —#8 3k. RAB oo: 


oT :NT 一 > 民 ” 


便 是 自由 Z - 模 


a (aja Aha) DAF Relat) |... | 
VZAT hr Relata) W274, Ima tD) e, 
VA iar, Imat) ), 
KIRE | lorla)l |? = Lila), E R" 中 格 o(Mi4) 的 判别 式 
dl(oi (Mi, ))= diar acom) 
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_ d(o(R)) [lär] 

NO INC) 
取 pra Et o (Mi, BHE LS - 约 化 基 的 第 一 个 元 素 在 M, 
中 的 道 像 81 ,由 约 化 基 的 性 质 知 


(p) = 2 tee | VTE 
L(y) = We, (8) 2 < 2% EL 


4 e = EP (VTAE ,因为 对 任意 1<j<n, L) 
(ATELE 1)? BREA 


n 


a _1 ~ 
[a atacand |" FelNGidlt, BIE T, 
S 4; = 
de |N Cria) |>, 若 j Ej. 
从 而 
| NCB) |< e7 | NC) | Fa 0P g Bem F | Cry) | 
= e| N Cra) |7. 
A C=O", Ba ERE. LAA ING) >, A 
_ NGCrr a)l 
对 jEJ， 


io) INEL ING) 


(i 
U PPT Dat NC rp) [FF 


= eld | NCrra) |77. 

假若 选择 d 满足 

dl ze|N(ria) |7 < 1,de ”| NC) |" 1, 
于 是 

d> maxle NCrya) |a, (e| NCrra) | mak | 

= | NC alt, 
即 可 保证 Bi,4+1 满 足 (1) ,从 而 由 | Br li> ETTI Ux 的 
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可 道 元 ,特别 取 [= 11,2,-, nb \ {ki, 便 构造 出 了 满足 引 理 6.8 
的 Uk. 

Wx 的 计算 相对 于 Fx 的 一 组 基本 单位 系 的 计算 来 说 是 容易 

的 , Wk 是 一 个 有 限 循环 群 (习题 6.16). 对 任意 rE Or ,有 不 等 式 
L(x) = D lole)? > nN) Sn, 

而 上 述 等 号 成 立 当 且 仅 当 | N(2)| =1, Al o,(x)| = |c; (x)| SHE 

EISi, j Sn 成 立 . 故 等 价 于 |o;(z)|=1,1 志 i 人 nn, 即 rE Wr. 

也 就 是 说 , Wk 中 的 元 素 是 格 (Ok , 工 ) 中 最 短 长 度 的 向 量 . 

设 Ok=Zart…*+Zas, A=(<a,a>)eijen t= (a, 
sy) (ZX1，"…,Tn)', 以 后 将 x 和 其 在 al,… ,a 表示 下 的 坐标 不 
加 区 别 . 即 xc =(21,°,2,)' BA L(x) = rAr 是 一 个 正定 二 次 
型 .由 线性 代数 理论 可 知 ,存在 一 个 矩阵 Q = (qi i<ij<ns 

0, Airy, 

di 一 V Pis Ai =j, 

V bity i<j, 

使 得 A = Q'Q( 9S 6.17 写 出 构造 Q 的 算法 ). 


此 时 ,L(z)= >) py + (ai + >) piz;)? BORE, ERER 
i=] 7=i+1 
Pilz; 十 >, Past)” < n -之 pular 十 > Pat)? 
jrit =itl j=&+1 


从 起 ,可 以 重复 递归 求 出 (zx1,…, x, ) 的 所 有 整数 解 ,因而 得 到 


$6.3 阶 的 一 些 性 质 


用 上 节 讨 论 对 Ok 的 一 个 非 零 素 理 想 p, A p-adic 赋值 v,, 现 
讨论 对 一 般 的 阶 A ,寻找 和 ww 类 似 的 同 态 映射 . 
引 理 6.10 对 A 的 任 一 非 零 素 理想 p 一定 存在 一 个 群 同 态 
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h: K*'—Z BBR: 
(1) 4Cr) 20 对 所 有 ZEA,z 天 0; 
(2) 0 关 zEA, 那 么 如 (xz)>0 SARS rEp; 
(3) 对 任意 ce K* ,几乎 对 所 有 A 的 素 理 想 p( 除 了 有 限 个 
外 ) 均 有 w(x)=0 且 
TT NGG) =1 N(x) I, 


pik A 的 所 有 素 理想 . 

为 了 证 明 引 理 6.10, 引 入 一 个 重要 的 定理 

定理 6.9(Jordan-Hilder 定理 ) 模 M 的 任 二 个 复合 链 都 是 
等 价 的 , 即 模 M 的 任 两 个 复合 链 导 出 的 各 自 因子 模 是 1-1 对 应 且 
是 同 构 的 . 

引 理 6.10 的 证 明 (1) 对 任 0 入 zEA, 因 为 [A:z4]< +o, 
任意 取 一 个 关于 r 的 理想 复合 链 

A = % Pa, P+ Pa,_; Pa, = xA, 

即 在 a;_1 和 a; 之 间 没 有 非 平凡 的 理想 (1 二;i 委 站 ,定义 


ylz) = lfi € {1,2,-,2¢} |" 


由 Jordan-Holder 定理 可 知 4, (x) ANSE A BE AY BE EE), X 
yEA,B 


izl ~ 
a, > A%}l. 


A= bo Pb, P-- P b, Pb, = yA 
是 关于 y 的 复合 链 ,显然 
A =% DP: Pa, = cA = xh P- Px, = xyA 
是 关于 zy 的 复合 链 , 故 
tp( xy) = hlr) + &(y). 
自然 扩展 名, 对 zx/zEK* ,定义 
t(a/z) = blz) 一 hlz), 
ABA 4 是 K*—>Z 的 一 个 群 同 态 ,(1) 得 证 . 
(2) 若 zEp, 取 理想 链 A = 二 ai =p 二 xA ,由 于 任意 理想 链 
都 可 扩充 成 一 个 复合 链 , 故 yl). 
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车 ck yp AW p 是 极 大 理想 ,所 以 +Z4=A4, 于 是 存在 z€ 
,满足 z=1 mod xA ,更 一 般 
z=1(moda;), 1<ix<t, 


a;- a; 
=" (=)= a? 
BEAR AT EID A /p HE 0,22) =0. 
(3) 显 然 只 需 证 对 z CA 结论 成 立即 可 . 首先 证 明 :对 任意 
1SiS 7 一 定 存在 唯一 素 理想 ?CA AS A /p BR y Ea, | 
-那么 


因此 


a; + yA = i, 
故 y 诱导 出 一 个 A- 模 满 同 态 
Qi-1 


:A— 4 


a; 
z > yz (mod a;). 


因此 A ker 9 位 一 tl A p=ker o, Hy St ATTN A - 模 ,所 以 


p 是 极 大 理想 .事实 上 ,p 是 A eet sees ik h E “a, ME 一 确 
定 , 和 y 的 选取 无 关 . 因此 
|N(x)| = |A/zA| = m|] = [[ NO”. 

证 毕 . 

映射 4 是 由 引 理 6. 10 中 的 条 件 (1),(2),(3) 所 唯一 一 确定 的 
(习题 6.18). 

当 取 A = Ox 时 ， 对 zEOr， 有 

20x = It, p: 是 素 理想 ， e 1, (*) 
对 Ox 的 非 零 素 理想 ， p, ,定义 vy(x) 79 xzOk 如 上 (* * ) 的 表示 式 中 p 
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出 现 的 个 数 ( 重 数 ), 对 z/z EK* ,其 中 zx,xzE Ok, 自 然 扩 充 
vo(X/z)=v,(z) 一 v,《(z). 由 中 国 剩余 定理 和 结论 N (p) = 
N(p)*( 习 题 6.19) 知 ,ys 也 满足 引 理 6.10 中 的 条 件 (1),(2),(3)， 
由 唯一 性 可 知 vy =p. EKE, EI xOk = peop (p: 允许 相同 )， 
取 a= peep Sit , 便 可 得 复合 链 

Ok = % £ p 2 pp Pe P prop, = ZOK， 
E 


1 ~ 
a; = Ox. 


令 A,B 都 是 K 的 阶 , 旦 AZB, X} B 的 任 一 个 非 零 素 理想 
思 , 轴 人 门 A =p X A 的 非 零 素 理想 ,以 后 记 轴 |p, 且 BABE ADH 
一 个 有 限 扩张 ,用 了 (第 1p) 记 作 此 扩张 的 次 数 ,为 了 防止 符号 混 
W, FEH 妨 ,A 来 记 上 面 讨论 时 用 的 4%. 
引 理 6.11 令 p 是 A 的 一 个 非 零 素 理 想 ,x 是 K PARA 
素 , 那 么 
lalz) = ZS | p), p(z). (6.1) 


证 明 ”为 方便 起 见 ， 引入 个 个 记号 , 设 M 是 一 个 有 限 A - 模 ， 
w4,a(MA M HAW AS HRS AFI TR, ABA yal) 
la (A/A), Sb XT M BSP L, BRA 

ty, aA(M) = »,A(L) 十 ty,A(M/L). 
注意 到 ,对 任意 非 零 元 zx€E A,A - 模 B/A 和 zB/zxA 是 同 构 的 , 因 
此 
ly,.A(B/A)= ly,A(TB/zA), 
ty,A(T)= th,A(A/zA) = by,a(B/rA) - by,4(B/A) 
一 pa (B/zA) — h,a (xB/zA) = pa (B/zB). 
& M = B/zB, RRE 
ty.A(M) = LSB | p)dn,3(M) (6.2) 
下 面 证 明 对 任意 有 限 B - 模 M(6. 2) 都 成 立 .通过 选择 M 的 一 个 
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复合 链 , 不 妨 假设 M 为 B - 单 模 , 即 只 有 {0},M 作为 M 的 子 模 ， 
BA MSB FOP BEB 的 极 大 理想 , 且 
1， 若 第 = 第， 
a(M) = h ERAP. 
Spy =PNA,M M=BA BEA - 模 和 看 作 A 力 - 模 有 相同 的 
结构 , 故 M ÆR |p) 个 Ap 的 直 和 . 
eer lp), Bp=pP, 
0, pA. 
综合 (6.3) ,(6.4) 式 可 知 (6.2) 式 成 立 ,证 毕 . 
上 述 性 质 告诉 我 们 ,对 A 中 的 任 一 素 理 想 p, 有 且 只 有 有 限 个 
由 ?提升 到 如 的 素 理想 PB, BI Bly. HL RT ART p 之 外 ,其 
它 的 素 理想 能 且 只 能 提升 成 B 的 一 个 素 理想 . 
引 理 6.12 A 中 除了 有 限 个 素 理想 外 , 均 有 


LARA) =1, 


- (6.3) 


tpa (M) = (6.4) 


且 整 数 
TE N@) H Egr o | [B:A], 


LP pik A 的 所 有 素 理想 
证 明 取代 是 A 中 的 任意 有 限 个 素 理想 构成 的 集合 ,U 是 
由 中 的 素 理想 提升 到 B 中 的 素 理想 全 体 . 令 a= Nerp b= 
Nc vB. IBA a= 6A A/a BYE Bb 的 子 环 ,因为 
[B:b][b:a] = [B:a] = [B:A][A:a], 


Bp 
[B:A] = we -[b:a] = [BA: AA] fb:0], 
故 [B:AA]ILB:4]. 由 中 国 剩余 定理 知 
Am 人 IA», 
PET 
B/N |[BA, 
REU 


14Al= TING), 
pET 
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[Bl = TTNs(%) = TING) E, 
PEU pET 


于 是 
[B/:A/] = [N0 tt Sa” |[B:A]. 


pe T 
由 工 的 任意 性 可 知 ,4 PA Dg (BoA 的 素 理想 只 有 有 
限 多 个 , 取 T 为 这 些 素 理想 构成 的 集合 , 便 证 明 本 命题 . 记 
Va = {zx E K* | 4 a(x) =0 (mod 2), 对 所 有 A 的 素 理想 ?|. 
5126.13 F#ACBAK HS, PAV pCV,, A 
[Va: Vs] S[B:A]. 
证 明 由 引 理 6.11 和 VA 的 定义 可 知 , VsSEVA4A. 对 A 的 每 
个 非 零 素 理 想 p, 定 义 
IB 1 第 是 素 理想 ,第 | pt Æ ABO) 是 偶数 ,对 所 有 第 1 p, 
È | 弟 是 素 理想 ,第 1 pi- Pol, EFE o | p, tE 
F(R) 是 奇数 . 
由 S; 的 构造 ,自然 对 所 有 
| Sy IK- 1+ Zipf BA). 
由 引 理 6. 12 知 ,几乎 对 所 有 p,S,= 多 , 令 S=U,S, EARR, s 
=|S|, 则 
2° [NS < [TD NG) SelB) < [BA]. 
下 面 只 需 证 明 , 群 V A/V g BERASIZ AZ) 中 即 可 , 令 
g: VA 一 ~(ZDZhi 
x t—>(bg,3(x) (mod 2)) ges 
是 一 个 群 同 态 , zE ker(p) 当 且 仅 当 对 所 有 BE S, 4g 3(z)=0 
(mod 2). SHER P ES, Æp =P NA, MBA Sy =H, BSB’ |v’) 
=1, H pPHHRA P, ELR |p ,那么 
ty a(x) = 2uf(B1 9’ Vigle) = by p(x) = 0 (mod 2), 
所 以 rE Vs, 因 而 ker 9 二 Vs, 证 毕 . 
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Ste 椭圆 曲线 


$7.1 椭圆 曲线 的 群 结构 


Weierstrass 方程 

设 K 为 一 个 域 ,K 表示 KK 的 代数 闭 域 .K 上 的 Weierstrass 77 
程 

YZ + a, XYZ + aaYy2Z2 = X? + aX? Z + as XZ + aZ? 


(7.1) 
(at,azyas;a4asya6E 开 ) 决 定 射影 平面 P5 民 ) 上 的 一 条 曲线 
E, 即 适合 上 述 方程 的 点 (X,Y,Z) (X,Y,Z EK ) 的 集合 . 当 该 
曲线 非 奇异 时 ,我 们 称 它 为 定义 在 K 上 的 椭圆 曲线 ,以 E/K 表 
示 . 将 方程 (7.1) 改 写 为 形 如 F(X,Y,Z)=0 的 方程 ,下 为 非 奇异 
是 指 上 不 存在 奇 点 , 即 E 上 不 存在 使 9F/9X,9F/93Y 和 39F/9Z 
同时 为 零 的 点 . 

E 上 有 了 唯一 的 一 个 点 (0,1,0) 具 有 坐标 Z= 0, 称 该 点 为 无 穷 
远 点 , 记 为 0. 由 于 9F/93Z(0)=1, 故 0 不 是 奇 点 , 当 ZAON, S x 
=X/Z,y= Y/Z, FET.) BH 

y? + azy + ay = x? + az’ + agx + ag. (7.2) 
曲线 E 由 方程 (7.2) 所 有 的 解 (z,y)(z,yE 开 ) 及 无 穷 远 点 9 组 
成 .将 方程 (7.2) 表 为 F(z,y)=0 WERK, E EREE f/x 
Ala f/oy 同时 为 零 的 点 .E 上 的 每 个 点 (无 穷 远 点 除外 ) 都 有 射影 
坐标 (X,Y,2Z) 和 仿 射 坐标 (z ,y) 两 种 表示 方式 . 

当 K 的 特征 char(K)A2 时 ,以 y-aiz2-as2 代 入 (7.2) 
中 的 y 得 到 

E: y= 22+ bx? + br/ + b4⁄4, (7.3) 
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其 中 
b; = ai + 4a2, 
b4= 2a4 十 CQ1Q3， 
bse= ah + 4a6. 


当 char(K) 关 2,3 AY, 7E(7.3) PHEW z- BAZ RA z 48 


E: y=2?+artb, (7.4) 
其 中 
a =- c4/(3x 2f), b =- ce/(33 x25), 
c4 = b3 — 24b4, ce = b2 + 36b2b4 — 216b. 
定义 五 的 两 个 重要 参数 
A=- b3bg — 8b} — 27b2 + 9b2b4b5, 
j= c3/A. 


ABA E 的 判别 式 ,7 称 为 E 的 ; 不 变量 ,其 中 bg= aj ag + darag 
一 ala3a4+ a2a3— aż. 
E FRETA, M f(x)= x3+ar+4b=0 没 有 重点 , 即 f(x) 
与 六 (x) 的 结 式 44a3+275? 关 0. 通 过 直接 计算 可 知 A= - 16(4a3 
+2767) ,可见 E 为 非 奇 异 的 充 要 条 件 是 AX. 
当 char(K)=3 时 ,将 方程 (7.3) 改 写 为 
E: yo x? + azz? + agx + ag. (7.5) 
易 见 当 且 仅 当 A= aba} - aa - ap #0}, E 为 非 奇 异 . 若 (7.5) 
中 cz=0, 则 有 
E: y =x +agztag A=-a},j=0. (7.6) 
当 a10 I}, FE(7.5) BVA z+ a/a: RA Z (7.5) 化 为 
E: y? = x + azr? tag, A =- aag, j = — a3/ag. 
: (7.7) 
(我 们 约定 a; 可 以 代表 不 同 的 值 ). 
当 char(K) =2 时 ,方程 (7.2) 中 若 ai 天 0, 分 别 以 atx + 
a3s/al 和 aiy+ (aĵa + a3)/a} 代 人 二 和 y,(7.2) 化 为 
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E: yz + zy = x° + azz? + a6, A= as, j} = 1/as, 
(7.8) 
车 (7.2) 式 中 a1=0, 则 以 z+as 代 入 z 得 
E: y? + azy = x + asx + ag, A= a4, j = 0. 
(7.9) 
对 于 方程 (7.6) 至 (7.9) 定 义 的 曲线 ,可 以 分 别 验证 当 且 仅 当 A 天 0 
时 ,它们 为 非 奇异 的 . 
椭圆 曲线 上 的 加 法 
方程 (7.1) 所 定义 的 椭圆 曲线 E 是 射影 平面 P% 天 ) 上 的 一 条 
3 次 曲线 ,平面 上 任 一 直线 与 五 都 有 三 个 交点 (不 一 定 互 不 相 
F). JER E LASAP, Q ER P,Q 的 直线 ( 当 P=Q 时 , 取 通 过 
P 的 切线 ) 与 EE 交 于 第 三 点 R, 我 们 将 连接 R 与 无 穷 远 点 9 的 直 
R5 E 的 第 三 个 交点 记 为 PBQ. 在 实数 平面 上 上 述 过 程 的 图 示 
如 图 7.1 所 示 . 


图 7.1 椭圆 曲 线 上 两 个 点 的 四 运算 
定理 7.1 运算 四 具有 下 述 性 质 ; 
(1) 车 直线 工 与 已 相交 于 已 ,Q,R 三 点 , 则 (PBQ)@R=0; 
(2) 对 任 一 PE 天 有 PGO= Pi; 
(3) 对 任意 P,QEE 8 POQ=QEP; 
(4) 对 任 一 PEE, FE 巨 上 一 点 , 表 它 为 GOP, 使 P@(OP) 


. 97 > 


=0; 
(5) &P,Q,REE,M(PHQ)OR = PO(QGR). 
PRG, BHO E 成 为 一 个 交换 群 ,以 下 我 们 称 它 为 五 
上 的 加 法 群 ,并 将 @,G 分 别 改写 为 + ，- . 
证 明 (1) 将 方程 (7.1) 改 写 为 形 如 F(X,Y,Z)=0 的 形 
式 , 易 见 
IF /IX(0) = 0,9F/9Y(0) = 0,0F/0Z(0) = 1, 
E 与 过 0 的 切线 Z=0 有 了 唯一 的 交点 0( 三 重 交点 ). 由 图 的 定义 , 通 
过 POQ IR 的 直线 交 E 于 9 ,而 通过 9 的 切线 a E 的 第 三 个 交 
点 仍 是 9 ,所 以 (1) 得 证 . 
(2) 设 R 为 通过 P 与 0 的 连 线 与 E 的 第 三 个 交点 , 则 通过 R 
与 9 的 连 线 交 于 P, 即 有 PGO = P. 
(3) 在 四 的 定义 中 ,P 与 Q 是 对 称 的 . 
(4) 将 书 与 9 的 连 线 与 E 的 第 三 个 交点 记 为 R, 利 用 (1) 与 
(2), 有 
0=(P®O)@R= POR, 
BIOP =R. 
(5) 利用 以 下 将 推导 的 运算 旬 的 表达 式 ,可 得 到 钾 的 结合 
定理 7.1 证 毕 . 
现在 来 推导 E 的 加 法 运算 表达 式 . 设 定义 E 的 方程 为 
f(x,y) = y + azy + azy- r? - azz’ — ax — a6 = 0, 
(7.10) 
P=(zo,.»)CE, BAKES -P 的 表达 式 .通过 PP 与 0 的 直线 
L: z=zo,L 5E 的 第 三 个 交点 即 为 ~-P. 将 z= zo 代入 (7. 
10) 得 到 y 的 二 次 方程 f( x0, y) =0, 它 的 两 个 解 即 对 应 工 SE W 
两 个 交点 P= (x9, 90) R- P= (toya), TA yotyo= ~ aizo 
~ a3, - P= (x0, — yo- aizo- a3). 
设 Pi=(zi,y1) 及 Po= (29,9) 8 E LWA. 当 r= x, yi 
+ yz+taızı +az=0 Hf, P, + P,=0. 34 Pı + P2AOM jit P, 与 
P: 的 直线 形 如 
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L: y=axrtu. 
# xyz, M A= (On - wy) A 21 - 21) 3H z= 22, F Pit Po 
9, 所 以 Py= Py, L 为 过 Pi 的 切线 ,X= - FL (PIAL (Pr).A 
确定 后 可 得 到 vw. 记 上 SE 的 第 三 个 交点 为 P3= (zx3,y3), 则 Pi 
+ P= 一 P3. 将 上 的 方程 代 和 人 (7.10) 得 到 
f(x,Ar + v) = (zr— 2) (x - x(x ~ x3), 

由 rit rt ra=? + aA -a 可 计算 出 xz3 和 43. 

E 的 加 法 规则 设 五 为 由 方程 (7.10) 定 义 的 椭圆 曲线 . 

(a) BH P=(z,y)EEMW- P=(2,-y-ayz-a3)3F 

Pi + Po = P3, P; = (zy) CE, i = 1,2,3. 
(b) # zı = 22,91+ 92 + ajz +az=0, Ñ] Py + Ps=0. 否 则 


令 
3277 Yı 
x x2 W 
Za 一 了 当 1 关 2 时 ， 
A= 2 
327i + 2a22Z1 士 Q4 一 Q1y1 当 时 
XH, = £2 MY 
29, t azi +a; —’? ! am 
v= MT AZ1， 


(c) P3 由 下 式 给 出 : 
之 3 一 A? + aya — @2 7 T1 7 T2, 
y3= A(x, ~ z3) — yı ~ A123 ~ a3. 


特别 , 当 PP, 时 ， 
2 
-y — 
a(P,+ P2) = (2>) taZ t) az- z = T2, 
当 P =P, 时 ， 


x(2P;) = 


ai 一 baz? 一 2p6Z1 一 bg 
4a} + bax? + bazi + bg’ 
其 中 ba, b4, be, bg 定义 如 前 . 
在 实际 应 用 中 ,经 常 遇 到 以 下 两 种 特殊 情况 下 的 运算 规则 : 
当 char(K)42,3 时 ,在 方程 (7.4) 定 义 的 EE 上, -P=(z， 
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- y). 4 Py + P2AOM 9 
y2- Yı 4 ri ar 时 ， 


z2- xy” 
A= 
5 当 zl = zz 时 . 


3z? +a 
231 

(4 T17 T2 时 ,一 定 有 妇 天 0 ,否则 Py=P2= - P, Ait Pi +t P2 

=0.) 则 


之 3 一 2 一 TX1 ~ T2, 


.3 一 和 (zl x3) yı: 
当 char(K)=2 时 ,在 方程 (7.8) 定 义 的 E 上 , -P=(zx,y+ 
z), P+ P2AONM > 
y2 + yı 、 - 
tye ty? 当 zi 关 r hf, 
A= 


2 

xi 十 

1 ‘1 X ri = 2) 时 ， 
T1 


(同样 当 zl = zz 时 ,一 定 有 zi 天 0). 则 
ZX3= ÀX? +À + at zi +t zs, 
33= (az, + x3)A + y1 + z3. 
同 构 与 j 不 变量 
B E/K 为 方程 (7.1) 定 义 的 曲线 ,K 为 任 一 中 间 域 ,KCK 
CK.(X,Y,Z)H E 上 一 点 (X,Y,2Z)EK, 若 存在 和 AEK, 使 
(AX ,AY,AZ)EK? \ 1(0,0,0)}, 则 称 (X,Y,2Z) 为 KR 上 的 有 理 
点 ,以 E(K) 表 示 E 上 全 体 K 有 理 点 的 集合 ,由 E 上 加 法 的 定 
义 , 可 知 E(K) 成 一 个 子 群 . 
在 (7.1) 中 取 变 换 
A: X= a2z +r, 
y= wy + usr’ +t (7.11) 
(u,r,s,t EK, u0), SBR Weierstrass 方程 定义 的 另 一 
椭圆 曲线 
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E: y? 十 aixzy+a3y = x? + ahr? + agt + ag, 
E EMR AEN E EWER EA, H 

ua'i = ai + 2s, 

uan = az — sa; + 3r- s?, 

uah = az + rait 2t, 

uta4= ag — saz + 2raz— (t + rs)a,+3r? — 2st, 
ufa% = ag + ra, + r?°a +7? - taz — t- rtaj, 
uba = ba + 12r, 

u4b4= b4 + ros + br’, (7.12) 
usbe= be + 2rby + r’b + 4r’, 

u®bg= bg + 3rbe + 3r°b4 + r°bz + 37%, 

utc4= C4» 

ufc = C6， 

uPA’ = A, 

j=j. 

定理 7.2 SHRYAAON,FAER(7.1)EXL4HwWRE SE 
奇异 的 . 

证 明 变换 4 建立 了 曲线 下 与 E 的 点 之 间 的 一 一 对 应 , 且 玉 
的 奇 点 与 E 的 奇 点 互相 对 应 . 对 于 方程 (7.4), (7.6), (7.7), 
《7.8) 和 (7.9) 所 定义 的 曲线 ,通过 直接 验算 ,已 经 证 明了 当 生 仅 当 
AAO 时 为 非 奇 异 , 这 些 有 曲线 都 由 曲线 通过 形 如 4 的 变换 产生 ， 
且 已 包含 了 所 有 可 能 的 情况 ,由 此 可 见 定理 7.2 成 立 . 

A 变换 将 射影 平面 P23《(K) 上 的 直线 变 为 直线 ,由 椭圆 曲线 加 
法 的 定义 ,可 见 A 保持 加 法 不 变 , 即 和 A(P+Q)=4(P)+4(Q) 
(P,QEE). 我 们 称 4 是 E(K) 与 E'(K) 定 义 在 居 上 的 同 构 ( 在 
通常 加 法 群 意义 下 的 同 构 ). (7.12) K 上 同 构 的 椭圆 曲线 具 
有 相同 的 六 不 变量 (这 也 就 是 该 名 称 的 由 来 ). 进一步 可 以 证 明 : 

定理 7.3 定义 在 KK 上 的 两 条 椭 圈 曲线 在 民 上 同 构 , 当 且 仅 
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当 它们 具有 相同 的 j- 不 变量 . 

证 明 ”可 以 证 明 两 条 椭圆 曲线 在 上 的 任 一 同 构 一 定形 如 
(7.11)( 见 [47] 第 三 章 命题 3.1). (7.12) 表 明 在 K 上 同 构 的 椭圆 
曲线 具有 相同 的 ;- 不 变量 ,所 以 仅 需 证 明 具 有 相同 广 不 变量 的 曲 
REEK 上 同 构 .我 们 只 要 对 (7.4), (7.6), (7.7), (7.8) 和 
(7.9) 定 义 的 曲线 分 别 证 明 上 述 结论 即 可 .这 里 仅 以 讨论 (7.4) 定 
义 的 曲线 为 例 . 设 

E: y= x tartb, E:y=r +tarib 
有 具有 相同 的 7- 不 变量 . 则 由 j 的 定义 得 
j = 3 2a /4a3 + 27?) = 33 Pla PAA Y + 27(5°)?) 
(4a? +27 #0, 4a? +2750) ,由 此 可 得 
ab? = a 3062. 

分 别 以 下 面 三 种 情况 E E 与 E 的 同 构 (x,y)= (utr, uy): 

(1) a=0(j =0) , QE} 640,a’=0,6'40, RM u=(b/b’)'; 

(2) b =0(j7 = 1728), KH a40,6'= 0,2 40, Mua 
(ara Y; 

(3) abA0(7A0, 1728) ,这 时 a'b #0, RM u = (a/a)! = 
(b/b ^. 


$7.2 除 子 类 和 群 


B E/K 为 椭圆 曲线 ,E 上 的 点 生成 的 形式 和 (不 是 $7.1 中 
定义 的 加 法 ) 


D= Zr(P). 
KA E 的 一 个 除 子 ,这 里 np 为 整数 ,对 几乎 所 有 的 PC E(K)A 
zp=0. 所 有 除 子 按 这 种 形式 加 法 形成 一 个 自由 交换 群 , 称 为 下 的 
除 子 群 , 记 为 Div(E). 除 子 D 的 次 数 deg D 定义 为 

deg D = Dnp. 


所 有 次 数 为 零 的 除 子 组 成 Div(E) 的 二 个 子 群 , 记 为 Div(E) 
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设 f(z,y)=0 (FE KLz,y]) 为 定义 EE 的 方程 ,f(xz,y) 生 
成 K[z,y] 中 一 个 素 理想 , 整 环 KK[x,y]A(f(z,y)) 的 商 域 称 为 
E 的 函数 域 , 记 为 K (E) (WETE E EK 上 的 函数 域 
K(E)).K(E) 中 的 任 一 函数 可 表 为 hi(X,Y,Z)/ha(X,Y,Z), 
hy 和 hh; 是 次 数 相同 的 两 个 齐 次 多 项 式 , 且 h, 不 在 上 恒 为 零 . 
设 gEK(E), 定 义 g 所 对 应 的 除 子 
div(g) = Dyorde(g)(P), 


这 里 ordp(g) 是 9g 在 P 的 阶 ( 因 P 是 光滑 点 ,ordp(g) 是 有 定义 
的 ), 当 ordp(g)>0 时 ,表示 也 是 g 的 ordp(g) 阶 零点 , 当 ordp(g) 
<0 时 ,表示 PP 是 g 的 -ordp(g) 阶 极点 .9g 仅 有 有 限 个 零点 和 极 
点 ,对 任 一 gE€K(E) 都 有 deg(div(g)) =0([47], 第 二 章 命 题 3. 
1). 

K(E) PE— BR g 对 应 的 除 子 div(g ) 称 为 主 除 子 , 所 有 主 
除 子 形成 Div(E) 的 一 个 子 群 ,Div(EE) 对 它 的 商 群 称 为 除 子 类 群 
(或 Picard 群 ), 记 为 Pic(E). 两 个 除 子 D1,D,, 若 存在 g CK (E) 
使 

Dz = Di + div(g), 
称 Di 与 D 线性 等 价 , 记 为 Di 一 也 ,这 时 有 degD, = degD,. 
Div (EF) RF ERF RM RBIBDY Pic (E). 

P,Q 为 E 上 两 点 ,通过 P 和 Q WHRIGAL,=0,ESE 
交 于 第 三 点 RR, 通 过 R 与 无 穷 远 点 9 的 直线 L,=0 与 瑟 交 于 第 三 
点 , 即 为 P+ Q, BR Z=0-45 E OMY, HERO 3,4 

div(L,/Z) = (P) + (Q) + (R) -3(0), 
div(L./Z) = (R) + (P + Q) - 2(0), 
所 以 
div(L1/L2)= div(L1/2) ~ div(L,/Z) 
= (P)+(Q)-(P+Q)-(9)， 
这 里 Lı/Z,L2/Z, L1/L: 都 为 民 ( 下 ) 中 的 函数 ,由 此 可 见 
(P) - (0) + (Q) - (0) ~ (P+ Q)- (0). (7.13) 
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设 D = >)mp(P) 为 Div(E) 中 任 一 除 子 , 即 >)np = 0, 反 
复 利用 (7.13) 式 可 以 发 现 
D = Zinp((P)- (9)) ~ (D>) npP) - (0), (7.14) 
AIX DS npP AE 上 的 加 法 .(7.14) 表 示 Div'(E) 中 任 一 除 子 都 与 
一 形 如 (P) — (0) 的 除 子 线性 等 价 , 亦 即 映射 
kx: E—Pic’(E) 
P+->(P) - (0) 
是 一 个 群 同 态 , 且 是 满 射 .利用 Riemann-Roch 定理 可 以 证 明 : 若 
Pi Po} E 上 不 同 的 两 点 , 则 (Pi) - (0) 与 (P,) - (9) 不 能 线性 
等 价 ( 文 献 [47], 第 三 章 命题 3.4) , 亦 即 x 是 一 个 同 构 ,于 是 有 
定理 7.4 ARAR E S Pic (E)\AAMRH 
k: E = Pic’(E) 
P++(P) - (0). 
Ë D= Dinp(P)€Pic’(E) Wi «-*(D) = SnpPCH E ERM). 
推论 7.1 RFD = DnP) 为 主 除 子 的 充 要 条 件 为 
>) np = 0 &>) npP =ð. 


$7.3 同 种 映射 


设 E\/K 和 FE/K 为 两 条 椭圆 曲线 ,$ HME, BE, 的 有 理 
映射 
$: E,—>E, 

(X,Y,Z) (AX, Y.Z), (X,Y,Z), f3(X,Y,Z)), 
其 中 fi, fo. J3EK(E1). Ei 为 非 奇异 曲线 ,对 任 一 PCE,,— 2 
存在 g © K(E1), 使 gf; (i=1,2,3) 在 P 点 都 有 意义 ,这 时 
(9fi(P), 9f2(P), of3(P)) € E>, Bl $ TEE, 的 任 一 点 都 有 意义 . 
当 $ 不 是 常 值 映射 时 , $ 一 定 是 映 上 的 (文献 [18] ,第 二 章 定 理 
6.8). 
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$ 诱导 出 从 天 (E) 到 天 (Ei) 的 一 个 同 态 映 射 : 
$*: K(E,)—>K(E) 
Pa 
4 6 不 是 常 值 映射 时 ,K(E1) 是 $*"(K(E,)) 的 有 限 扩张 ,定义 $ 
的 次 数 为 
deg? = [K(E,):$* (K(E,))]. 

4 6 为 常 值 映射 时 , 令 deg? =0. 4 K(E,) Æ $* (K(E.)) HA 
分 ,不 可 分 , 纯 不 可 分 扩张 时 ,#$ 也 相应 地 称 为 可 分 ,不 可 分 , 纯 不 
可 分 . 

反之 ,如 果 r: K(E2) 一 >K(E,) 是 一 个 了 入 映射 , 则 存在 有 
HRI $: Ey —> E>, E $* = (文献 [47], 第 二 章 定 理 2.4). 

$ 也 诱导 出 从 KK(E1) 到 K(E,) 的 一 个 同 态 映射 : 

$a: K(E,) —~K(E)) 
F ($1 TINK)" EE 

这 里 N 是 从 K(E;) 到 $8*(K(E;)) 的 范 映射 . 

B P AE, 的 任 一 点 , 则 存在 tpEK(E1), 使 ordp(tp)=1, 函 
数 tp RAP 的 单 值 化 子 . 设 tip EKE) H APWR, 
定义 

es(P) = ordp($* typ)) 

为 $ 在 P 的 分 歧 指 数 ,对 任 一 QEE,, 有 (文献 [18], 第 二 章 定 理 
6.9) 


>) es(P) = degg. (7.15) 
pes 1(Q) 
考虑 E, 和 E, 上 的 除 子 类 群 ,$ 在 Div(Ej) 和 Div(E,) 之 间 
诱导 两 个 映射 ( 仍 记 为 % Mg): 


$* ; Div(E,) —>Div(E,) 
(Q) -~ >) e(P)(P) 


PESHQ) 
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$x: Div( Ei) —Div( E2) 
(P) => ($(P)). 
对 任 一 DE Div(E,), 利 用 (7.15) 易 见 deg($* (D)) = degg» 
degD ,所 以 $8" 将 Div’(E2) BRA Div"(E1). 显 然 ,$ ,也 将 Div (E1) 
BLA Div (E2). 5IL $* div( f) =div($* f) (fER(E,)), 妈 $* 
将 主 除 子 映 为 主 除 子 . 同样 $. 也 将 主 除 子 映 为 主 除 子 (文献 
[47] ,第 一 章 命 古 2.2). 所 以 % 和 % ,分 别 诱导 同 态 映射 
$*: Pic (E2) — Pic (E1) 
和 
Pu: Pic’(E;,) — Pic (E>). 

BH E A E, 的 有 理 映 射 , 若 %(9) =0 , 则 称 # 为 同 种 映射 . 

定理 7.5 hb: El 一 > 为 同 种 映射 , 则 它 是 同 态 映 
射 , 即 对 所 有 P,QEEI, 有 

#(P + Q) = $(P)+ $(Q). 
证 明 我 们 有 群 同 构 ( 定 理 7.4) 
Ki: E; —*Pic’(E;) 
P >(P) - (0) 
(=1,2). 由 于 %(O)=0, 下 列 图 是 可 交换 的 ， 
Er Pic (E) 
$ $s 
E,—*2 + Pic’ (Ey) 
因 ci, xz 是 同 构 映射 ,$ ,是 同 态 映射 , 故 #$ 也 是 同 态 映射 . 

将 Ei 到 E, 所 有 的 同 种 映射 形成 的 加 法 群 记 为 Hom( Ei， 
E2). 当 Ei=E, 时 , 记 End(E)=Hom(E,E). 若 ?,~€End(E), 
将 $y 理解 为 $ 与 y 的 复合 映射 ,于 是 End( 巨 ) 成 为 一 个 环 , 称 为 
E 的 自 同 态 环 . 任 一 整数 m ,对 应 End( 玉 ) 中 一 个 同 种 上 映射:P 
t—> mP ,我 们 将 它 表 示 为 [m]. 易 见 对 任 一 $E End(E), A $- 
[m]=[m]-¢. 
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设 $EHom( E, E2), 9 WHA, BM Ker $= $7!(0), BOE 
一 QE E, 都 有 
#$7(Q) = #¢°'(@) = #Kerg. 
由 (7.15) 式 ,可 知 间 Ker$ 二 deg$. 进 一 步 可 以 证 明 : 
定理 7.6 B $C Hom(E), E>), 8] # Kerg = deg, $ , AA E— 
PE E, 有 es(P)= deg, à £ deg, $ 和 degd 分 别 表 示 扩 张 
K(E,)/$* (KK(F,)) 的 可 分 次 数 和 不 可 分 次 数 . 
WERA 见 文献 [47], 第 三 章 定理 4.10. 
设 %E Hom(EE1,E2) ,TE Ker$ EX E, 上 的 有 理 变换 
rr(P)= T+P, YPEE, 
tr 诱导 K(Ei) 一 个 同 构 : 
TAP)= f(T+P), VfE KI(E). 
当 f=g'$(gEK(E,)) 时 , 
tT (f)(P) = g($(T+P)) = g($(P)) = f(P), 
BD 多 (天 (下 2)) 包 含 在 z 的 固定 子 域内 . 
定理 7.7 设 $C Hom(E,, E>), RH 
Kerg —Aut[ K(E1)/$* (K(E2))] 
T rf 
是 一 个 同 构 , 当 $ THM, K (El)/$* (K(E2))& Galois 扩张 ,其 
Galois 群 与 Ker¢ 同 构 . 
证 明 若 丁 ,SE Ker$, 易 见 reis47)= ri ,由 定理 7.6, 有 
+ Ker¢ = deg,?, HH Galois 理论 有 
# Autl K (E;)/$* (K(E))] < deg, 
所 以 我 们 仅 需 证 明 映 射 Tt cf 是 一 个 单 射 .假设 r 是 一 个 恒 
等 变换 , 则 对 任 一 fE 开 (Ei) ,都 有 f(0)= f(T), 显 然 这 时 有 工 
=0. 5 $ HT DINAH Ker = deg$, 即 
# Aut[ K (E,)/$* K(E2))] = deg¢, 
定理 得 证 . 
对 任 一 $€ Hom(E1,E,) ,存在 一 个 从 E, 到 E, 的 映射 : 
+ 107 > 


Ey > Pic (E2) ©» Pic (E1) “> Fy. 
它 将 QEE, 映射 为 
Kil$* ka(Q)= kg ((Q) — (0)) 
=el >) e(P)(P)- Dd) oT)(T)) 
PESHQ) Tes 1(0) 


= >) [e(pP)]P- >) lelT]T 


pes 1(Q) res!) 
=[deg#]( >) (P+T)- Dd T) 
Tes O) Tes 1(0) 

| = [deg;#] + [deg,$]: P = [deg $]P, (7.16) 

其 中 P 可 为 $1(QQ) 中 任 一 点 ,这 里 利用 了 定理 7.6. 可 以 证 明 上 

述 映射 是 同 种 映射 ([47], 第 三 章 定 理 6.1), 称 它 为 $ 的 对 偶 , 记 
为 $, 由 (7.16) 可 知 

$$ = [deg $]. (7.17) 

SHOES 是 唯一 确定 的 .车 有 .$=[deg $], WC- 4’) $= 

[0], 是 一 个 常 值 映射 ,可 见 $ 一 名 是 常 值 映 射 , 即 S= g. 

现在 我 们 来 讨论 两 类 重要 的 映射 ,一 类 为 上 述 已 定义 的 [mm ]， 

其 中 m 可 为 任何 整数 , 另 一 类 为 下 面 即将 定义 的 Frobenius 变换 
( 当 char(K)>0 时 ). 


定理 7.8“ 对 任 一 整数 m, 有 [m]=[m] 及 deg[m]= m2?. 所 
以 当 char(K)=0 或 char(KK) 与 m Am, [m] ETA. 


证 明 2 $,¢¢Hom(E,, E>), I $+ g=$ + $147], BEB 
定理 6.2). 当 m=0 或 +1 时 ,定理 显然 成 立 .由 于 


[m+1] = [m] + [1], 
利用 归纳 法 ,可 知 第 一 个 结论 成 立 . 令 d= deg[ m], 由 (7.17) 式 ， 
[d] = [m] [m] = [m?], 
因而 ,[d - m?]=0, 所 以 4= m ER. 
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定理 7.9 设 $EHom(Ei,FE,), JEHom(E,,E;), 则 
(1) deg = degs ; 
(2) #6=[degd]; 


(1) iE d = deg , XEM 7.8, d?=degl d] = deg( $$) = degf - 
deg? = d -degd i degd = d. . 
(2) ($6)$=4(46)=¢-[d]=[d]-$,k =[d]. 


(3) [da]$= ($3)$=$(83=$[degd]=[ad]$, 故 $=$. 
(4) yb-$p=[deg $]+ yp = [deg $ "deg $1]=[deg $y]= gt" 
Jb Hyd = bp WE. 
设 char(K)=p>0,g=p ,EAK 为 方程 (7.1) 定 义 的 曲线 ， 
以 EO #75 HE 
Y?Z + ai XYZ + a} YZ? = X? + a X°Z + ag XZ? + atZ? 
定义 的 曲线 , 则 映射 
$ (zyz) > (27, 9%, 27) 
KH ERNE, A 和 (0)=0, 所 以 $, € Hom(E, E), eH 
Frobenius 变换 . 
BWACX,Y,Z)/g(X, Y,Z)EK(E™) JEF h,g 为 次 数 相 
同 的 齐 次 多 项 式 . 则 
$i (h/g)= h(X®, Y", 77)/g( XY, Y", 27) 
= (h'(X,Y,2)/g (X,Y,2)), 
hg 为 分 别 将 h Ag 的 系数 开 4 次 方 得 到 ,可 见 $: (K(E)) 
=(K(E))*, K(E)/$2 (R(E )) ÆRA, BD $, 是 纯 
不 可 分 的 ,进一步 我 们 有 : 
定理 7.10 凡是 纯 不 可 分 的 , 且 deg =q. 
证 明 ”后 一 结论 见 (文献 [47] ,第 二 章 命题 2.11). 


定理 7.11 设 开 ,E2z,F3 为 定义 在 K 上 的 搞 圆 曲线 ， 
$:E1 > En, $:E,——> E; 
为 非常 值 的 同 种 映射 , 风 可 分 . 若 KergC Kery, 则 存在 唯一 的 同 
#P RIT A: E, > E3, 18 p=aeg. 

证 明 Od FY 4}, eK (E,) 22 $*(K(E2)) H Galois 扩张 (定理 
7.7). 由 于 KergC Kery ,所 以 y* (K (E3)) Æ Gal (K (E,)/ 
$* (天 (E2))) 的 一 个 固定 子 域 , 且 有 

0 (K(E3)) C $* (K(E2)) CK(E)). 
可 见 P=A-$. AF 
A(O) = 4($(0)) = y (0) =ð. 
4 是 同 种 映射 .4 的 唯一 性 是 显然 的 , 证 毕 . 

注 EY, y 都 是 定义 在 K E, H Kerg 中 每 个 点 都 定义 在 K 
上 , 则 在 定理 7.11 证 明 中 的 K 可 改换 为 K, 这 时 亦 可 推出 4 也 是 
定义 在 K E. 


$7.4 Tate 模 和 Weil 对 


设 E/K 为 椭圆 曲线 , m 为 正 整数 ,定义 
Elm] = |P E E(K)|[m]P = ð}, 
BI E[ m]=Kerl m}. 、 
定理 7.12 (1) #cha(K)=0 A m>2 与 char( 开 ) 互 素 , 则 
Elm] = (Z/mZ) x (Z/mZ); 
(2) 4 char(K)=p>0 时 , 则 
ELp] = 10}, e = 1,2,3,.…, 


ELp) =Z/p'Z, e = 1,2,3,.…. 
证 明 当 char(K) =0 R m>2 5 char(K) 2H, [ m ] 是 可 
分 的 (定理 7.8), 从 而 #E[m]=deg[m]= m (EM 7.6). Xt m 
的 任 一 因子 4 ,也 可 类 似 得 到 # 下 [dz] = d?. 利 用 Abel 群 的 基本 定 
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理 , 将 下 [mm ] 表 为 循环 群 的 直 积 时 , 仅 可 能 有 Elm) =(Z/mZ) 
X(Z/mZ). 

当 char(K) = p>0 时 ,以 各 表示 Frobenius 变换 , 它 是 纯 不 
可 分 的 (定理 7.10) ,我 们 有 


~#E[p°] = deg,[p°] = deg’ ($,6,) = (deg, $,)°, 
因 deg $, = deg $p = p (REM 7.9) iM deg, $, =1 È p. 


H deg, $, =1 It, MATA HY e A # ELp ]=1. 2 deg, $= p 
时 ,对 所 有 的 e AHEL l= p, AT ELp ]=2/pZz ,证 毕 . 
设 1 为 素数 ,相对 于 映射 


Ert Elir] 


的 反 向 极限 群 
T(E) = limE[2"] 
称 为 已 的 (/-adic)Tate 模 .全 (五 ) 中 任 一 元 素 可 表 为 


a= (alyaz，…，)， 


HP a, CEL], All aj4,=0;(i=1,2,--). A ELEJE AZ 上 
的 模 , 故 OT, (E) Æ 1-adic 整数 环 Z, 上 的 模 . 取 u = Das € Z, M 


u ° a= (ua, uaz," ) 
= (apa, (ag + ajl)az, =) € T(E). 
由 定理 7. 12 可 知 , 当 1 Achar(K) it, T;(E)XZ, xZ; 1 = 
char(K) 时 , T,(E) {0} 5&Z,. 
设 char(K)=0 R m>2 R5 char(K) HX, TEEL m], A 
存在 f/fEK(E), 使 
div(f) = m(T) - m(0) 
(推论 7.1) , 取 TEE(K), 使 [m](T)= 荆 同样 存在 gE€ KK(E)， 
使 
div(g) = [m]*(T)-[m]*(0) = >) (T+ R)-(R), 
REE m) 
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易 见 f-(m)5 g 具有 相同 的 除 子 ,它们 仅 差 K* 中 一 个 常数 因 
子 , 可 以 假设 
feim] = g”. 
设 SEE[mj(CSs 与 工 可 以 相同 ) ,对 任 一 XEE, 
g(X +S)" = f([m]X +[m]S) = f([m]X) = g(X)”. 

故 

€m(S,T) = g(X + S)/g(X) 
是 一 个 m 次 单位 根 (K(E) 中 的 任 一 函数 或 常数 ,或 取 遍 KU 
{oo} PRA AYE, ATLA ec, (S, 丁 ) 是 一 个 常数 ).g 的 取 法 可 以 差 一 个 - 
常数 因子 ,但 这 不 影响 en"(S,T) 的 值 .故我 们 得 到 

em: Elm] x El m]— tms 
Em Alm 次 单位 根 组 成 的 群 ,ew BRA Weil 对. 

Weil 对 还 有 一 个 等 价 的 定义 , 它 更 便于 计算 . 设 S,TE 
Elm], BRR Ds 和 Dr, 使 Ds~(S) -(0),Dr~(T)- (0), 
Ds 与 Dr 的 表达 式 中 不 出 现 公共 的 支撑 (例如 取 Ds = ([k +1]S) 
一 ([&]S), 使 [+1]S,[k]S,T,0 互 不 相同 ), 存 在 fs, fre 
K (E) , ff div( fs) = mDs, div( fr) = mDr. # f EK (E),div(f) 
SRF D= np(P) 没 有 公共 支撑 , 则 定义 f(D)= TI AP)”. 
则 我 们 有 

em(S,T) = fs(Dr)/fr(Ds). (7.18) 
上 式 证 明 见 (文献 [47], 第 三 章 习题 3.16). 

定理 7.13 Weil 对 具有 下 述 性 质 ( 设 S,S1,S?,T,Ti ,ToE 
E[m]): 

(1) RAB; 

€m(S, + So, T)= em(S1, T)e,(S,, T), 
en(S, Ti+ Tr) = en(S, Ti)e,(S,T,); 
(2) 交错 性 : 
en(S,T)= e,(T,S)!; 
(3) 非 退 化 : 若 对 任 一 SCE[m],# e,(S,T)=1,8)] T= 
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ð; 

(4) 对 任 一 8E GRK Ñ eml S, T)? = em(S*, T); 

(5) # SE E[mm’], TEE[mj, 则 emm (S,T) = 
ém( Lm’ |S,T). 

证 明 (1) 因 


X+5,+5 
en(S1 十 Sı, T)= gl 1 2) 


g(X) 
_ g(X+ Sit So) g(X + Si) 
g(X + S;) g(X) 


= e,,(S2,T)e,(S1,T), 

第 一 式 成 立 .假设 对 Ti, Ta Tit To 如 上 述 分 别 构造 了 函数 fi, 
所 ,f3,91;92;93; 取 hEK(E), 使 

div(h) = (Ti + T2) - (T1) ~ (T2) + (0), 
则 div( f3/fi fo) = mdiv(h), 即 f= cfif2h,c 为 K* 中 一 常数 . 利 
FA film) = 97" EFF m KH g= cg192(h'[m]),c 为 一 常 
数 ,从 而 
en(S,T, + T) aa 
_ gi (X + S)gr(X + S)h(m]X + [m]S) 
7 g1(X)g2( X)h([m]X) 
= @,(8,7,)en(S, T2). 


(2) 由 (1) 
en(S+T,S+T)= e,(T,T)e,(T,S)en(S,T)e,(S,S), 
仅 需 要 证 明 对 任 一 TEEL m] ¢,(7T, T)=1.U cp 表示 平移 变 
换 已 一 已 + 下, 如 上 述 构造 上 与 g, 由 于 


div( TT f+ ear) = m| St DD Š- T] = 0, 
m-1 
故 Ir: rur 是 一 个 常数 . 取 TT 使 [m]T = 下 ,由 于 


g(X+[ilT)™” = f([m]X+[mi]T)= fl(lm]xX+[Li7), 
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a TL 9 «cuir hie WM, EE X 与 X+ T 上 取 相同 的 什 , 即 
i=0 


Tl ox +[iJT’) = Hox +{1+i]T’). 
i=0 i=0 
由 此 推出 g (X) = g(X+T). ATAI 


_ g@( X+T) | 
ém(T,T) = ax) TL 


(3) 车 对 所 有 的 SC El m4 e,,(S,T)=1, UAW SE 
El m]4 g(X+S)=g(X), BP g 在 rs HEADER. [m] ÆT 
的 ,所 以 Gal(K (E)/m]* K(E))={r3|SCE[m]} (定理 
7.7), Bil g€[m]* KE), FFE AE K(E), $ g=h-[m]. HF 
(he[m])"=g"=f+[m], TA f=ch” (cE K*), Mit 

m div(h) = div(f) = m(T) — m(0), 

可 见 div(h)=(T)- (0), 左 端 为 主 除 子 , 故 全 =0( 推 论 7.1). 

(4) 设 SE Gra, fsg 为 上 述 对 应 工 构 造 的 函数 , 则 对 应 T? 
构造 的 函数 为 疡 ,98(.P 表 示 将 8 作用 到 有 理 函 数 入 的 所 有 系数 上 
PTS Bl HY PRO) ,我 们 有 


P(X + $) (X +S) 
nl, T) = HA = (2 HES ) = en (S, T). 


(5) 我 们 有 
div( f” ) = mm(T) — m'm(0) 
及 
(go [m I) ™ = (fo [mm ])” = f” > [mm] 


故 
X+5S g([m’]X + [m’]S) 


enn (ST) = g ° to KX) 7 g([m’ ]X) 
= e„l([m ]S,T). 
定理 7.14 HES, TEE m], È en(S,T)A m 次 本 原单 
Azk. FH, 4 E[m]CE(K)# A nC EK. 
证 明 BRE m 的 真 因子 4 fhe,,(S,T)4=1(VS, TE 
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E[m]), HF en (S,T)4=e,([d]S,T) =1 对 所 有 的 TE 
E[ m ] maz, PRA d ]S =0 ERE 7. 13(3)), S 为 E[m] 中 任 一 点 ， 
这 不 可 能 . 
当 E[m]CE(K) 时 ,em(S,T) 在 Gr EMF AEREE 
理 7.13(4)), 故 e,,(S,T)EK, 即 pm CK, WEE. 
EH 7.15 设 $EHom(Ei,E,),SEEi[m],TEE,[m], 
则 
en($(S),T) = e,(S,$(T)). 
证 明 对 于 工 ,如 上 构造 函数 Mg, HF x1($(T))= 
#*((T))—$*((0)), BD #( T) RF $* ((T)) -$8*((0)) 中 出 
现 的 所 有 点 (在 E, 上 ) 之 和 .利用 推论 7.1, 存 在 AEC K(E,) 8 
$*((T)) — $*((0)) = (8(T)) - (0) + div(a). 
上 式 左 端 乘 m 即 为 div( fo $) (SCR 47] ,第 二 章 命题 3.6). 故 
dv( £4) = m($(T)) - m(0), 
而 


人 = 人 
h” h” o [m] he[m]} ’ 
因此 


Sery (a2 $/h e [m])(X + S) 
EnS ETD = ~ 0 gh Pn DOO 


_ _g(#(X) + $(S))h([m]X) 
g(#(X)) + h({[m]X + [m]S) 


= €m($(S),T). 
设 ! 为 异 于 char( 开 ) 的 素数 ,将 ELL] (n =1,2,--+) ER) Weil 
对 合并 在 一 起 可 以 得 到 Tate 模 T, (E)_EW) (-adic) Weil 对 .对 应 
L 次 升 短 映 射 


pr — pr 
定义 反 向 极限 群 
Ti(p) = bmp . 
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a= Sali E ZA = (ii )E Tile), 定义 
ah = (A4,A8) = (Afoa), 
Ti(p) 可 看 作 Z, 上 的 模 . 
设 S=(Si,S2,… JE TAME), T=(T1, To )E T(E) $ 
HS, AT, 属于 E[7"]. 令 
e(S,T) = (e(S1,T1),e2(S2,T2)5°"); 
由 于 
er“ (Sns Tar) = er (Spats ll) Trt) 
= ef ([1]Sp+1; Ta) = er(S,, Ta) 
(定理 7.13 的 (1) 和 (5)), 可 见 e(S,T)E Ti(p), 从 而 得 到 Tate 
模 上 的 Weil 对 
e: T(E) X T(E) — Ti(p), 
由 定理 7.13, DUE e 也 具有 双 线 性 ,交错 性 , 非 退 化 性 .同样 , 若 $ 
EHom(Ei1,E,),SE T(E), TE T(E,), 则 
e($(S),T) = e(S,$(T)), 
这 里 $(S)=($(S1)),$(S,),…). 


§7.5 有 限 域 上 的 椭圆 曲线 


设 K=F( 包 含 g 个 元 素 的 有 限 域 ), E/K 为 定义 在 有 限 域 

上 的 椭圆 曲线 . 令 

E(K) = {(z,y) E Elz,y E€ K} U fð}, 
E(K) 称 为 E 的 K- 有 理 点 集合 , 它 是 一 个 有 限 集 .计算 #E(K) 是 
研究 定义 在 有 限 域 上 的 椭圆 曲线 的 一 个 核心 问题 . 

在 方程 (7.2) 中 , 当 r BOR F, 的 元 素 时 , 约 有 一 半 的 情况 使 
(7.2) 左 端的 二 次 方程 有 二 个 解 ,所 以 间 E(K) 大 致 为 g+1.E. 
Artin 在 他 的 博士 论文 中 猜想 有 下 述 定理 7.16, 后 来 Hasse 给 出 了 
证 明 . 
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定理 7.16 设 KEF,,E/K 为 椭圆 曲 线 , 则 
|#E(K)—-g -1|<2Vg. 
WEAR 在 (K) 上 定义 g 阶 Frobenius 变换 
$: E—>E 
(x,y) (7x, ¥), 
H $(0)=0. 当 且 仅 当 $(P)=P 时 ,PEE(K), 所 以 E(K)= 
Ker(1 一 $8). 由 于 1-$ 是 可 分 的 (文献 [47], 第 三 章 推论 5.5), 因 
而 间 E(K)=deg(1 一 $$) ,利用 下 述 引 理 7.2 可 证 得 本 定理 . 
BA 为 交换 群 ,函数 
d: A 一 > R (实数 域 ) 


称 为 二 次 型 ,如 果 
(1) 对 任意 aEA， d(-a)=d(a);. 
(2) 令 
A x 4 一 ~R 
(a,8)'+—>d(a + B) -d(a)-d(p), 
(ca ,8) 具 有 双 线 性 . 


一 个 二 次 型 称 为 正定 的 ,如 果 
(3) 对 任 一 a€ A,d(a)>0; 
(4) 当 且 仅 当 a=0 时 ,dad (a)=0. 
引 理 7.1 REE, 为 定义 在 同一 域 上 的 椭圆 曲线 , 则 映射 
deg: Hom(E,,E,)—>Z 
是 正定 二 次 型 . 
证 明 仅 需 证 明 若 $, pE Hom(E1,E,), 则 
< #,¢ >= deg($ + ¢) — deg? — degg 
具有 双 线 性 ,其 它 条 件 显然 符合 .利用 (7.17) 式 ,有 
[< $,y>]= [deg($ + %)] - [degg] - [degg] 
= (b+ p)($+ g) - f- Wy 
= fy + pp. 
易 见 双 线 性 成 立 . 
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引 理 7.2 设 4 为 交换 群 ,d:A 一 ->Z 为 正定 二 次 型 , 则 对 

AAO, PCA A 
|d(¢— p) ~ d(¢) - d(¢)|<2Vd(#)d(¥). 

证 明 $ L($,¢)=d(¢- $)-d($)-d(y),L 具有 双 线 
性 ,利用 归纳 法 易 证 d (md) = m?d(¢). fER m,n €Z, 
mnL($, p) = L(m$,np) = d(mt — np) — m?d(¢) — n?d(¢), 
由 于 d 是 正定 的 , 故 

0< d(m# — ny) = m*d($) + mnL($, p) + nd(y), 
因而 它 的 判别 式 L7($,p)<4d($)d(p), ABSA. 

在 引 理 7.2 PR A=End(E),¢ Hq 阶 Frobenius 变换 ,y= 
1, 由 于 deg(1- $)=#E(K), deg$ = g,degy=1, 由 此 可 证 明定 
理 7.16. 

设 pE End(E), RA! Gq ER. y 与 [1"] 可 交换 ,所 以 
PELL DCEL:"], y 可 诱导 Tate 模 TCE )=Z, xZ 上 的 一 个 线 
性 变换 pı. 当 T(E) 取 定 一 组 Z, 基 后 ， y 可 用 Z, 上 的 一 个 2 阶 方 
阵 表示 ,因而 相应 可 计算 det yy, try). 

定理 7.17 i pEEnd(E), A 

det( yı) = deg, tr(%) = 1+ deg — deg(1 — g). 
TR, det( y) tr(y) 都 是 整数 , 且 不 依赖 于 了 7. 

证 了 明 取 U1» U2 为 T(E) 的 Z 基 ,在 这 组 基 上 ， 

a b 
gy, = [ °], a,b,c,d € Z. 
Be WT,(E) ER Weil 对 ,我 们 有 
e( v1, v) = e([degp]v1, v2) = e(ĝyvi, v2) 

= e(¢ vi, po) = elav + cvz, bv, + duz) 

= e(vi, 0) TE = elv, v) A, 
这 里 利用 了 e(zl 01) =e( v2, v2) =1,e( v2, 01) =e( vy, 09) 71. 
由 于 e 是 非 退化 的 , 故 得 det( g) = degy%. 对 于 任意 2 阶 方 阵 A 都 
有 
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det(1 — A) = 1 + detA —tr(A). 

于 是 得 到 tr(y) 的 表达 式 . 

it $ Aa 阶 Frobenius 变换 ,可 见 办 的 特征 多 项 式 为 

det(T — $) = T? - tr(¢,)T + deg?, = T?-1T + 9, 
其 中 ,z HARRI BR RA $ 的 迹 .由 于 87 — th + g =0, 
这 表示 P -rp +g 在 ELL*](n =1,2,…) 上 的 作用 恒 为 8, 因而 它 
在 EE 上 的 作用 恒 为 9, 即 太一 区 + 9 =0,¢ BAO KHA - tx 
+g=0. 利 用 定理 7.17 的 第 二 个 恒等式 ( 取 y=$)， 

#E(K) = deg(1 - $)=1+g-t. (7.19) 
因而 |t| 志 2Yg (定理 7.16), 二 项 式 x- tr +q HZA a, pE 
复数 域 中 ), 且 |a|=18|=Vg,a 和 8B RES, 的 特征 根 ,pr 的 特征 
根 就 是 o” ABI K, = F,", 9" Aq" 阶 Frobenius 变换 ,因而 

#E(K,)= Ker(1 - $") = deg(1 ~ $") = det(1 - #7) 
= 1+det($7)—t($")=1+g-a"—pB". 
(7.20) 
F Vo=2,Vi=t=at B,V,=tV,-1- gVn-2(0>2), 5 M 
V, =a" + 所 .利用 这 个 递 推 公式 可 以 方便 地 计算 V .最 初 的 几 个 
V, A 
V= t?- 2q, 
V3= £3 — 3iq, 
Va = tt ~ 412g 十 292， 
Vs= 0° ~ 523q + 5tg?, (7.21) 
V6= tô - 6t4g + 927q? - 20°, 
V7= 0° ~ 715g + 14t3g — Ttg. 


习 题 七 


7.1 $ pA2 BRR, a,b,c,d EF, BE acd40,C 是 满足 二 次 方程 
ax? + bry + cy* = dz? 
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的 圆锥 曲线 .证 明 : 
(1) Ë b*A4ac , WW | CCF,) |= p+. 
(2) 车 如 = 4ac, 则 要 么 |C(F,)|=1, 要 么 |C(F,)|=p+1. 
(3) 给 出 例子 说 明 上 述 三 种 可 能 性 都 会 出 现 . 
7.2 素数 p 分 别 取 3,7,11,13,E/F,:y=zx3+zx+1, 求 |C(F,)|. 
7.3 令 素 数 p=3 mod 4,5E F}. 
(1) HERA: WH C: 0? = ut — 46 FE FY PA pp — 1 ME. 
(2) S E:y =r + bx ,那么 
gp: C(F,)—E(F,) 
(uv) (F lu? + v), tulu? + v)) 
是 一 个 映射 . 
(3) 证 明 |C(F,)|=p+1. 
7.4 4 q=2';E/Fy:yt y=2'. 
(1) 用 点 已 的 z,y 坐标 来 表示 -P 和 2P 的 坐标 . 
(2) 若 g=16, 证 明 五 中 的 每 一 个 非 零点 的 阶 均 为 3. 
(3) 求 |E(F2)| 和 |E(Fz)|. 
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第 八 章 “ 在 密码 学 中 的 一 些 应 用 


$8.1 RSA 公 钥 密 码 


在 使 用 传统 密码 加 密 信 息 时 ,信息 的 发 方 将 明文 m ( 它 通常 
用 一 个 0-1 序列 表示 ,通过 整数 的 二 进 制 ,也 可 把 它 表 示 为 一 个 整 
数 ) 通 过 加 密 运 算 

c = Elm) 
变 为 密 文 c 后 发 给 收 方 . 收 方 接 到 密 文 c 之 后 ,利用 解密 运算 

m = D,(c) 
得 到 明文 m .这 里 是 一 个 密 钥 , 它 参与 运算 ,对 同一 个 明文 选用 
不 同 的 密 钥 可 以 得 到 不 同 的 密 文 ,这 可 以 增加 敌 方 破译 的 难度 . 密 
钥 是 不 能 泄露 的 .在 传统 的 密码 中 ,加 密 和 人 解密 使 用 同样 的 密 钥 ， 
因此 在 通信 前 ,发 方 和 收 方 必须 通过 一 个 安全 信道 约定 所 选用 的 
eA. 

在 计算 机 网 络 环境 下 ,用 户 的 数量 可 以 很 多 ,相互 之 间 的 业务 
关系 也 不 是 固定 的 ,利用 上 述 传统 的 密码 是 不 方便 的 .在 20 世纪 
70 年 代 , 提 出 了 公 钼 密码 的 概念 .在 这 种 系统 中 ,每 个 用 户 有 两 个 
密 钥 ,一 个 公开 ,一 个 保密 ,分 别称 为 公 负 和 私 钥 ,并 且 要 求 从 一 个 
用 户 的 公 钥 很 难 推算 出 他 的 私 钥 ， 

Rivest, Shamir 和 Adleman 在 1978 年 发 表 的 题 为 《数字 签名 
和 公 钥 密码 的 一 个 方法 ) 一 文中 ,提出 了 一 个 公 角 密码 ,现在 人 们 
PRED RSA 公 钥 密码 . 

成 立 一 个 密 钥 分 发 中 心 .一 个 用 户 如 要 使 用 密码 ,就 去 该 中 心 
登记 领取 窗 锅 . 密 钥 分 发 中 心 选用 一 个 正 整 数 n= pg ,这 里 p 和 gq 
是 两 个 不 同 的 素数 ,通常 要 取得 很 大 . n 是 公开 的 ,而 p,q 是 保密 
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的 ,我 们 知道 p(n)= (pp 一 1)(q 一 1), 但 是 如 果 不 知 道 p 和 ag, 即 
不 知道 n 的 因子 分 解 , 就 不 能 利用 这 个 公式 计算 gla). 

当 一 个 用 户 来 中 心 登记 领取 密 钥 时 ,中 心 给 他 选取 一 个 数 e, 
e 为 小 于 p(n) 且 与 它 互 素 的 正 整 数 .利用 轧 转 相 除 法 ,可 以 找到 
整数 d Max tk 

ed + rp(n) = 1, (8.1) 
即 
ed =1 (modg(n)), 

e 作为 用 户 的 公开 钥 ,ad 作为 用 户 的 秘密 钥 . 

只 要 知道 了 该 用 户 (A) 的 公开 钥 e 和 ? ,任何 人 (B) 都 可 向 他 
发 加 密 报 文 . 设 明文 

m 一 《720;721 mı), m; = 0,1, 
将 m 表 成 一 个 整数 
m = mo 十 2721 十 … +2'm, 
今后 都 用 这 种 方式 将 明文 表 为 一 个 整数 .假设 m<n, 征 m 与 n 
ER (m Hn 不 互 索 的 情况 ,出 现 的 可 能 性 极 小 ). 发 方 B 利 用 A 
的 公开 钥 e 将 m 加 密 成 密 文 。: 
c = m (mod n), 
了 B 将 密 文 c 经 由 公开 的 通信 信道 给 A. A 在 收 到 c 后 ,利用 他 的 秘 
密 钥 解密 ,计算 (mod n), 由 (8.1) 式 ,我 人 有 ed =1- zela), 
因此 
cd 三 Mod = ml-zp(n) = ms (m?™ )-= (mod n), 

这 里 利用 了 定理 2.5. 这 样 A 从 密 文 c 就 得 出 了 明文 区. 

如 果 不 知道 p(n), 由 已 知 的 公开 钥 。 BEARER Ad, EA 
道 p(n), Mh 

pa=n, ptq=n-g(n)+1 
可 知 p,q OMB 2? + (p(n) 一 nn 一 1)z+n=0 的 根 ,可 以 算 
出 p,q, 从 而 将 n 因子 分 解 .所 以 RSA 公 钥 密 钥 的 安全 性 , 与 因 
子 分 解密 切 相关 .车 能 知道 n 的 因子 分 解 ,该 密码 就 能 破 了 . 因此 
要 选用 足够 大 的 ,使 得 在 当今 技术 条 件 下 要 分 解 它 是 困难 的 . 自 
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从 RSA 公 钥 密码 问世 后 ,大 大 刺激 了 整数 因子 分 解 计算 方法 的 研 
究 . 利 用 很 多 高 深 的 数学 知识 ,结合 计算 机 的 应 用 ,提出 了 不 少 新 
的 因子 分 解 的 算法 ( 详 见 第 九 章 ). 

要 选用 足够 大 的 ,就 要 产生 足够 大 的 素数 p 和 gq, 这 里 遇 到 
的 问题 实际 上 是 要 求 能 够 判断 一 个 整数 是 否 是 素数 , 它 在 理论 上 
已 较 好 地 得 到 解决 ,利用 计算 机 产生 一 百 多 位 的 素数 并 不 困难 . 

在 选择 p 和 g 时 ,也 有 些 因素 要 考虑 ,以 便 使 n ETR. E 
如 , 当 p Ag 很 接近 时 ,n 就 容易 分 解 .因为 

2 2 
n= pa = (45%) - (454), 
4(p-q)/2 ADM, t= (p + q) 2 很 接近 V 克 ,因此 逐个 检查 大 
于 Vn 的 t, 看 它 能 否 使 ?2 - ”是 一 个 平方 数 , 若 有 t- n= ?2 , 则 
可 得 到 ”的 因子 分 解 
n=t?-s?=(t+s)(t-s), 

所 以 p Rq 不 能 太 接近 . 

除了 分 解 n 的 因子 之 外 ,是 否 还 有 其 它 攻击 RSA 的 方法 ? 
今 举 个 例子 :第 三 者 在 截获 c 后 ,反复 计算 它 的 。 KR, Tig 

c= m”, ce = m, … (mod n). 
一 旦 出 现 =c (mod n), RA À =m (mod n), 即 在 出 现 c 之 
前 的 计算 结果 就 是 明文 m , 当 + 不 很 大 时 ,这 种 攻击 也 是 可 行 的 . 
c "=m (mod nn) 就 是 m =m (mod n), Bp n| m1 -1,# m 
Bin 的 阶 为 , 则 
č =1 (mod k), 

t 可 取 的 最 小 值 就 是 e 模 的 阶 ,必须 使 这 阶 尽 可 能 大 .。 BER 的 
阶 是 pg(&) 的 因子 ,所 以 ,最 好 p(k) 中 有 大 的 素 因 子 .又 由 于 是 
m Bin 的 阶 ,因而 k 是 p(n)= (p11)(g -1) 的 因子 .所 以 最 好 使 
一 1 和 g 一 1 出现 大 素 因 子 .上 述 讨论 建议 我 们 选取 这 样 的 素数 
pf p -1 至 少 有 一 个 大 的 素 因 子 .对 g 也 有 同样 的 要 求 . 
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§8.2 Diffie-Hellman 体制 


在 $8.1 中 ,我 们 已 提 到 ,在 使 用 传统 密码 时 , 由 于 加 密 运算 
和 解密 运算 使 用 同样 的 密 钥 ,因此 在 通信 前 ,发 方 和 收 方 必 须 通过 
一 个 安全 通道 约定 所 选用 的 密 钥 ,例如 由 信使 预先 派送 在 今后 一 
段 时 间 内 所 使 用 的 密 钥 .我 们 也 称 这 类 密码 为 对 称 密码 . 公 钥 密码 
也 称 非 对 称 密码 , 它 的 加 密 运 算 和 解密 运算 使 用 不 同 的 密 钥 . 

W. Diffie 和 M. HellmanLl9] 提 出 了 一 个 在 网 络 环境 下 使 用 对 
称 密码 前 设置 密 钥 的 新 方法 . 发 方 和 收 方 可 以 通过 在 非 安全 的 公 
共 信道 上 的 一 次 信息 交换 ,确定 所 使 用 的 密 钥 .任何 第 三 方 即使 从 
公共 信道 上 截获 他 们 传输 的 信息 ,也 不 能 得 到 该 密 钥 .以 A,B 表 
示 通 信 双 方 . 设 p 为 一 个 大 素数 ,g 为 模 p 的 原 根 ,p 和 g 是 公开 
HBR. 

人 A 选取 整数 0<a<p, 将 go’ (mod bp) 传输 给 B， 

B 选取 整数 0<5b<p, 将 g (mod p) 传 输 给 A, 

AWE (g) =g” (mod p), BIHA (g) =g? (mod p), 
g*(mod p) BRE A 和 B 约定 使 用 的 密 钥 . 

第 三 方 可 以 知道 p,g Æg (mod p),g’(mod p), 利 用 这 些 数 
据 , 能 否 得 到 g” (mod p), 这 称 为 Diffie-Hellman 问题 .已 知 p,g 
Ben€(Z/pZ)* RER r, tE n=g (mod p), 这 称 为 模 p HB 
散 对 数 问题 . 易 见 , 若 我 们 能 计算 模 p 的 离散 对 数 ,就 能 解决 
Diffie-Hellman 问题 . 是 否 存在 不 计算 离散 对 数 也 能 解决 Diffie- 
Hellman 问题 的 方法 ,这 问题 尚 无 答案 . 

Diffie Hellman 体制 的 安全 性 是 基于 计算 离散 对 数 问题 的 复 
杂 性 .我 们 也 可 以 用 其 它 的 群 来 代替 (Z /pZ )* ,例如 , 任 一 有 限 
域 GF(g) 的 乘法 群 或 代数 数 域 的 理想 类 群 等 等 ,在 第 十 一 章 我 们 
将 介绍 基于 椭圆 曲线 离散 对 数 的 密码 体制 . 

在 网 络 环境 下 使 用 上 述 Diffie-Hellman 体制 ,也 存在 一 些 不 安 
全 的 因素 ,例如 ,通信 的 一 方 不 能 知道 通信 另 一 方 的 身份 ,有 可 能 
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被 人 蒙骗 .因而 后 来 在 此 基础 上 又 提出 了 一 些 更 复杂 的 体制 . 
$ 8.3 ElGamal 算法 


本 节 介 绍 ElGamal 加 密 算法 和 数字 签名 算法 . 

首先 介绍 EIGamal 加 密 算法 .在 一 个 通信 系统 中 ,选取 一 个 大 
素数 p , 模 p 的 原 根 a ,一 个 正 整数 a( <p 一 1), 然 后 计算 p= 
(mod p). 将 p,a, Bp 公开,a 是 要 保密 的 ,不 能 让 系统 之 外 的 人 知 
道 , 令 A 欲 将 信息 m 秘密 发 送 给 B( 我 们 这 里 假定 O<m< p,B 
则 ,需要 利用 一 个 杂凑 函数 H, H m RBH mHE ,而 
H(m)i8@ 0< H(m)< p). A fEXE— TERM h(< p- 1), RH 
算 yı =a" (mod p), y= mp*(mod p), A (y1, y2) BK B.B k 
到 (yi,yz) 后 ,由 于 他 知道 a, 于 是 计算 

y2( 9)! = mp* a % = m (mod p), 
可 以 解密 得 到 m. 易 见 , 上 述 ElGamal 加 密 算法 的 安全 性 依赖 于 
计算 模 p 的 离散 对 数 的 复杂 性: 即 知道 a 和 8B, 很 难 计算 a, 使 B 
=a (mod p). 

现在 介绍 ElGamal 数字 签名 算法 .A 欲 将 信息 m 签名 后 发 送 
给 B. 仍 采用 上 面 的 符号 p,m ,a,a,B 二 a*(mod p), 但 现在 a 仅 
有 A 知道 .A 随机 选取 正 整数 &(<p-1), 且 上 & 与 p -1 互 素 .A 
计算 y= (mod p), 并 由 

k > d+ ay = m (mod p - 1) 
解 出 8=( m -ay)k ~! (mod (p-1)).A(m, 7,8) RZA BX 
里 (7,6) 就 是 A 对 信息 m 的 数字 签名 . 

B 在 收 到 (m ,y,86) 后 ,检验 PV 三 a” mod p EA RIT, ME 
该 式 成 立 ,B 认为 这 是 A 签名 后 发 来 的 信息 ,否则 B 拒 收 .因为 当 
(m,Y,6) 是 A 签名 后 发 出 的 信息 时 ,一 定 有 

BY = a” + a = gs = a” (mod p). 

ElGamal 数字 签名 算法 的 安全 性 同样 是 依赖 于 离散 对 数 问题 

的 复杂 性 ,在 $11.7 中 ,我 们 将 讨论 计算 模 p 离散 对 数 的 一 些 方 
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法 .在 现在 的 技术 条 件 下 , 当 |p | 1024 比特 时 ,计算 模 p 的 离散 
对 数 是 不 可 行 的 . 


§8.4 ”基于 背包 问题 的 公 铀 密码 


有 物品 若干 及 背包 一 个 ,由 于 背包 太 小 ,不 能 将 所 有 物品 放 
人 , 今 问 如 何 选 择 一 部 分 物品 放 入 ,能 使 背包 的 容积 得 到 最 充分 的 
利用 ,这 就 是 背包 问题 . 

将 上 述 问题 稍 加 演变 ,给 定 n PERR aa, an, 及 一 个 
正 整数 s, OA s 是 某 一 些 a; 之 和 , 试 确定 这 些 a; ,今后 我 们 把 这 
个 问题 称 为 背包 问题 .从 aaz, a, 中 选 出 一 个 子 集 ,很 容易 
算出 这 个 子 集 之 和 .但 反 过 来 ,给 定 一 个 子 集 的 各 数 之 和 ,要 确定 
这 个 子 集 ,一 般 来 说 就 很 困难 了 . a1,a,,…, a, 共有 2" 一 1 个 非 
空子 集 , 只 有 将 这 些 子 集 一 一 试 过 ,去 找 所 要 的 子 集 . 

利用 背包 问题 ,可 以 得 到 一 个 加 密 的 方法 .将 ol, a, 公 
开 , 设 (m1,…,m ) 为 明文 ,m;=0 或 1, 令 


s= = Xm a; 

将 s 作为 密 文 , 它 是 et, an 的 一 个 部 分 和 . 从 :求解 明文 (m1， 
… m ) 就 相当 于 解 背包 问题 不 过 对 于 一 般 的 a1,…, a, ,这 时 合 
法 的 收 方 也 同样 难于 解密 ,所 以 不 能 用 一 般 的 a1,…, an 设计 和 密 
码 . 

在 下 面 一 个 特殊 情况 ,背包 问题 将 变 得 很 容易 解 , 设 

ay< Q2, a1 + a2 < a3, “°, Q1 tagte + an-l < Ans 
即 前 面 一 段 数 之 和 小 于 紧 跟 其 后 的 一 个 数 ,这 时 称 aean 为 
超 递增 序列 . 

设 aiaa, ran 为 超 递增 的 ,如 以 它 为 公开 钥 ,以 


s = = Xm a; 
作为 明文 (mi1,…，,an) 的 密 文 ， , 则 任何 人 都 会 从 s 解 出 (m1,…， 
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mx ) .所 以 这 样 做 是 不 行 的 ,必须 设法 将 ci ,az,…，,a。 隐藏 起 来 . 
取 正 整数 m ,使 m >al + az+… +a, , ARER u, fË u 
Gm HER. u 和 za 作为 秘密 钥 , 只 有 发 方 和 收 方 知道 . 令 


b; = ua;(mod m), i = 1,2,--,n, 
将 bisbats bn EHARA, E mm, m) HAX, S 
s= Dy mb; 
i=] 


为 密 文 ,发 方 将 s 发 给 收 方 . 

收 方 利用 回转 相 除 法 可 以 找到 让 ,使 ww=1 (mod m), A u 
5m 互 素 . 他 在 收 到 s 后 ,可 以 算出 (so)o, 使 sw = (sw )0 
(mod m), B 0<(sw)o<m, J 


n 
sw = 2 mwua; = > ma;(mod m), 
i=l 


BR D ma; < Da < 7 ,可 见 > ma; = (sw)0, 这 是 一 个 超 递 
增 背 包 问 题 ,很 容易 解 出 明文 (mi ，… ,mm, ). 
但 后 来 的 研究 表明 ,这 个 密码 体制 是 不 安全 的 . 


$8.5 秘密 共享 


一 个 机 密 数 据 K (例如 密 钥 ), 交 给 一 个 人 保管 ,一 旦 丢失 或 
“泄露 ,就 会 造成 严重 后 果 . 如 果 同 时 让 几 个 人 都 保管 , 则 减少 了 
丢失 的 可 能 性 ,但 增加 了 泄露 的 可 能 性 ,所 以 理想 的 办 法 是 用 某 种 
方法 将 秘密 分 成 几 部 份 ,由 几 个 人 分 别 保管 其 中 一 部 份 ,只 有 当 这 
些 人 ,或 其 中 一 部 份 人 都 同意 时 ,将 他 们 保管 的 部 份 次 在 一 起 , 才 
能 得 到 机 密 数 据 K .这 就 是 秘密 共享 的 思想 . 

设 有 个 人 参与 一 个 秘密 共享 方案 .我 们 把 分 发 给 每 个 参与 
者 保管 的 秘密 数 称 为 是 分 配给 他 的 信息 片 . 考虑 一 个 简单 的 秘密 
共享 方案 ,假设 任意 s 个 参与 者 的 信息 片 凑 在 一 起 就 能 得 出 K ,而 
任意 不 足 s 个 参与 者 的 信息 片 凑 在 一 起 不 能 确定 KK, 称 这 方案 为 
(s,n) 门 限 方案 .本 节 我 们 利用 孙子 定理 给 出 一 个 构造 (s ,nn) 门 限 
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方案 的 方法 . 
RRM p, IE K< 2, 取 两 两 互 素 的 正 整数 m,m, my, 
都 与 p THA 
my < ma L L maa 
mim" ms > pm,m,-1""" Mn—54+2 
& M= mim2… m,,(8.2) #4 M/p Emi m, PER s -1 
个 数 的 乘积 都 大 . 
任 取 非 负 整数 :<M/p 一 1, 令 
Ko = K + tp, 
则 OS Ko = K + tp<(1+ 14) p<(M/p) p=M, ®t 
k; = Ko(mod m;), j = 1,2,-, n, 
以 kisko, 作为 分 配给 每 个 参与 者 的 信息 片 ,利用 上 述 方法 
就 定义 了 一 个 (s,) 门 限 方案 .选择 不 同 的 1, 可 产生 不 同 的 信息 
片 


(8.2) 


若 我 们 知道 了 任意 * 个 参与 者 的 信息 片 Ris Rj, Rj» HATA 
余 方程 组 
Ko = k; (mod mj), i = 1,2,.…,s, 
利用 孙子 定理 ,可 求 出 Ko 模 M; = mj, mj," mj 的 最 小 正 剩余 a , 
即 
Ko = a (mod Mi ) ,0 委 a < Ad ， 
但 由 于 0 入 Ko< M 生 Mi, 故 Ko=a, 进 而 K= Ko - tp, Bih kj» 
kyo sky TREK. 
若 我 们 仅 知道 * - 工 个 参与 者 的 信息 片 Risky WM = 
ki ki ,由 同 余 方程 组 
Ko = k; (mod mj), i = 1,2,…,s — 1, 
可 知 Kp=a (mod M’), 0 和 <c<< AM ,因而 
Ky =at+aM,0<2a< M/M’, 
由 (8.2) 式 ,可 知 p<M/M ,所 以 x 可 跑 遍 O<2<p.M 5p E 
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素 , 可 见 xM 可 跑 遍 模 p 的 剩余 类 , Ko 也 可 跑 遍 模 p 的 剩余 类 ， 
由 Ko 不 能 确定 K(=Ky- tp). 所 以 任意 不 足 s 个 参与 者 的 信息 
片 不 能 确定 K ,我 们 利用 上 述 方法 确实 得 到 了 一 个 (s,n) 门 限 方 
案 . 
例 AK =4, 我 们 来 给 出 一 个 (2,3) 门 限 方案 . 取 p=7, 
m,=11,m2=12,m3=17, W] M = mimz=132> pm3s=119, 这 时 
M/p=13277, 任 取 t=14<M/p, 这 时 
Ko = K + tp = 4+14x7 -= 102. 

分 配给 三 个 参与 者 的 信息 片 分 别 为 

kı = 102 = 3(mod 11), 

ky = 102 = 6(mod 12), 

ks = 102 = 0(mod 17), 
BP ky =3,k2=6,k3=0. l 
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第 九 章 素性 检验 


$9.1 Fermat 小 定理 及 伪 素 数 


给 定 一 个 自然 数 n ,判断 n 是 不 是 素数 , 称 为 素性 检验 . 
Fon 是 素数 ,整数 a 与 2 互 素 ,由 Fermat 小 定理 可 知 
a”! =1 (mod n). (9.1) 
如 果 能 够 找到 一 个 与 n 互 素 的 整数 4, 使 (9.1) 式 不 成 立 , 则 可 断 
En 是 复合 数 .但 相反 结论 并 不 能 成 立 , 即 当 (9.1) 式 成 立时 ,并 
不 能 断定 n 是 素数 .实际 上 ,存在 这 样 的 复合 数 ” ,能 使 (9.1) 式 
对 任意 与 其 互 素 的 a 都 成 立 .我 们 称 这 样 的 复合 数 为 Carmichael 
数 . 
当 (9.1) 式 成 立时 ,n RAW a 为 基 的 伪 素 数 . 
在 计算 模 n WAR a" (mod nn) 时 ,将 u 表 成 二 进 制 
u = ata 2+a te taa =0 或 1， 
将 a 逐次 平方 得 a?,(a2)?= a? a? ,…,a? (mod nn), 然 后 将 对 应 
u =1 HERE FE a? ER, n. 
BW n= pi} pp p; 为 Carmichael 数 ,存在 整数 co, 使 
ag = qi(mod pi) i= 1,2,°", t, 
其 中 ai 为 模 pi 的 原 根 .ao 模 nn 的 阶 为 
d= lel p}), e( D2). (2!) ] (最 小 公 倍数 ) 
= [pr (pi 一 1), p2 (p2 一 1) pr (p, -1)], 
An X Carmichael MH, din —1. 
4 7x;>1, 则 pld, {E pn 一 1, 故 对 一 切 i Ar, =1, Bl nw 
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AAT. 

4% t=2,0U p1- 1| pipe-1, HF pipe-1=(p1- UW) po + 
po - 1,8 pi 一 11p2 一 1. 同 理 , 有 ps 一 1| pi 一 1, 因 而 py ~1= pp 
一 1, 这 不 可 能 , 即 n 至少 是 三 个 素 因子 的 乘积 , 

(9.1) 式 成 立 的 充分 必要 条 件 是 a 模 的 阶 是 -1 的 因子 ， 
atin 的 阶 一 定 是 4 的 因子 , 且 一 定 存在 一 个 a, 使 它 的 阶 等 于 
qd, 可 见 d|n 一 1 是 nn 为 Carmichael 数 的 充分 必要 条 件 . 当 n= 
pipro p MH, SAMS p-Aln-1 (i=1,2,--,t),0 为 


Carmichael 数 . 
下 列 这 些 都 是 Carmichael 数 : 
3.11.17= 561, 5-13-17 = 1105, 


7+ 13 -19 = 1729, 5.17.29 = 2465, 
7+ 13 +31 = 2821, 7-23-41 = 6601, 
13 + 37+ 61 = 29341, 7+ 13-31-61 = 172081. 
虽然 Fermat 小 定理 没有 直接 给 出 素性 检验 的 一 个 有 效 算 法 ,但 是 
很 多 素性 检验 的 算法 都 是 从 它 发 展 出 来 的 . 


$9.2 RARR Miller-Rabin 检验 


当 为 素数 ,a Hn 互 素 时 ,将 同 余 式 
a”! =1 (mod n) 
两 端 逐 次 开 方 ,可 得 


al a-l nzi 
s 
a2 5a 4 a5 2 


(2A), UB n 不 等 于 1 的 数 必 为 模 n 等 于 一 1, 因 
为 当 n 为 素数 时 , 仅 有 土 1 的 平方 模 为 1, 由 此 引入 下 面 的 定 
义 : 
定义 9.1 B n-1=2%,2%t,b 与 n 互 素 , 若 
b =1 (mod n) À 3r,0 <r < sb" =-1 (mod n), 
(9.2) 
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Wt n 是 以 5 ARH BAEK. 

由 上 述 , 当 n 为 素数 时 , 它 一 定 是 以 任何 数 blb 与 交互 素 ) 为 
基 的 强 伪 素数 ,以 2 为 基 的 强 伪 素数 ,一 定 是 上 节 所 定义 的 以 6 
为 基 的 伪 素 数 . 

定理 9.1 Hn 是 奇 的 复合 数 , 则 在 区 间 0<b<n 中 ,最 多 
有 25% 个 数 5 ,能 使 nn 是 以 6 为 基 的 强 伪 素数 . 

在 证 明定 理 9.1 之 前 ,我 们 先 来 介绍 Miller-Rabin 检验 :在 0 
与 n AERO ,计算 b (mod n), 若 为 +1, 则 称 n 通过 检验 (9.2)， 
否则 依次 计算 b,b, "(mod nn), 如 果 能 得 到 一 1, 则 称 n 
通过 检验 (9.2) ,如 果 不 能 得 到 一 1, 则 称 n 对 该 5 不 能 通过 检验 
(9.2) ,这 时 可 以 肯定 n 为 复合 数 . 如 果 我 们 随机 选取 上 个 5(0< 
b<n), i n WR NS 都 能 通过 检验 (9.2), 由 定理 9.1, 可 知 此 
事件 发 生 的 可 能 性 小 于 1/4*. 我 们 可 以 认为 这 时 ”为 复合 数 的 可 
能 性 小 于 1/4*. 这 就 是 Miller-Rabin 检验 . 

为 了 证 明定 理 9.1 ,我 们 需要 两 个 引 理 . 

引 理 9.1 Æ m 阶 循环 群 中 ,x*=1 的 解 的 个 数 为 (m ,kk). 

证 明 设 g 为 循环 群 的 生成 元 , 则 1,g,g?,…,g” (MAE 


个 群 ,车 gH = 1, IM mljk id = (mk) W, j Epes 


ER, AMT jj TRA 0,72 Foolad- DT NAE t= 1 
有 ad 个 解 .证 毕 
引 理 9.2 设 记 为 奇 素数 ,pp 一 1=25t ,21t MARX 
x?! =- 1 (mod p), 24K 
的 解数 为 
-他 #r2r, 
2 (t,t), #r<s. 
证 明 设 9g 为 模 p WRR, Æ 
jet 1 (mod p), 
HF g 7 = -1 (mod p), $ 9024-2 Y =1 (mod p), Butt 
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2'tj =2°"12’ (mod 2°’), 
这 里 j 作为 未 定 元 . 当 rs 时 ,该 同 余 方程 对 7 无 解 ; 当 ><s* 时 
ot gy th 2 
7 Ge)? (t,t) (moa Cory) 
HTT 545 2° At, te ER, 模 27" At, ) 有 唯一 解 ， 
因而 模 p 一 1 有 
t Zar , 
Drar = 2 (t,£) 
个 解 . 
定理 9.1 的 证 明 ”分别 考虑 三 种 情况 : 
(1) n 会 平 方 因子 . 设 p | n,Q 之 2, 这 时 我 们 可 以 证 明 , 能 使 
n 成 为 以 6 为 基 的 伪 素 数 的 5 在 区 间 (0， 2 ) 中 不 超过 25%. 设 
b"~"==1 (mod 7), W] b"-1=1 (mod 2°), (ZLp2Z)* 是 一 个 
9(p”) 阶 循环 群 ,由 引 理 9.1, 在 区 间 (0, p?) 中 ,有 d=(p(p~1), 
n-1)f b 适合 如 =1 (mod p°). HF p/n —1, Blt d<p-1. 
在 区 间 (0,n) 内 ,能 使 *-!==1 (mod p?) 成 立 的 6 的 个 数 可 占 比 
例 不 超过 | 
p-1_ 1 21 
pol pti Sa: 
(2) n= pg 为 两 个 素数 之 积 . 设 p-1=2,g—-1=24, 1 
与 1 为 奇数 , 记 n 一 1=2% ,t 也 为 奇数 ,不 妨 设 Ss", Fn BWo 
为 基 的 强 伪 素数 , 则 (i) b =1 (mod 2), 8 =1 (mod g); 或 (ii) 存 
在 0<r <s, fff 6?*=—-1 (mod p), 6?*=—1 (mod 9g). 由 引 理 
9.1, 使 (i) 成 立 的 。 的 个 数 为 (+ 0) (2, 0°) <0't”. | 9.2, 对 
f£— r<min(s’,s”) = s ,使 (ii) 成 立 的 5 的 个 数 为 
2°(t,t°) + 27(t,t") S42", 
HF n-1>9(n)=(p- 1)(q-1)=2°*° re", FUER 
(0,7) ARE n 成 为 以 5 为 基 的 强 伪 素 数 的 5 所 占 的 比例 不 超过 


s-i 
tt + Sarr ar 1 


way = 2 (1 + 4 一 (9.3) 
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As’ < , 则 该 比例 不 超过 
re 
Es =s ,在 以 上 统计 中 所 用 到 的 两 个 不 等 式 
(t, SIE, (tt) RE 
中 ,至 少 有 一 个 是 严格 的 不 等 式 .否则 ,将 有 :|t,t lt, AF 25 = 
n-1=(p-lA)qt+q-1=2't’qt+2°t’, TA tlt’, A A’ le’, 
BP t = 2", AICO p= gq, 这 不 可 能 .由 于 t,t ,Yt 都 是 奇数 , 当 
(4,t)<w 时 ,至 少 差 一 个 因子 3, 即 (t,t KE ,所 以 
(t,t (t,t) <ir. 
这 时 我 们 所 求 的 比例 不 超过 
1 nw/2,4)- 1,1 _ 1 
a a js +9=6< 
(3) n 为 三 个 以 上 的 素数 之 积 . 设 n= pipo Pek3, Dp; - 
1=2%;,t; VAR. RPE si<s, ,类似 与 (2) 中 的 推论 ,在 (0,) 
内 ,能 使 n 成 为 以 6 为 基 的 强 伪 素 数 的 6 所 占 的 比例 不 超过 
“pcg cus 2, -1 pe [2-2 2% 
uo (14 Sp <2 (57 +P) 


_k 2* - 2 1 -2-2 1 1 
-ks k, ee lL 
=? HS 1 T 4 


定理 9.1 证 毕 . 

令 n-1=2'w (2w). AB Miller-Rabin 检验 时 ,首先 在 区 
间 (1, x) 内 任 取 一 与 n 互 素 的 整数 5 ,计算 如 (mod n), # 加 三 
£1 (mod n), N n 是 以 6 为 基 的 强 伪 素 数 .否则 ,依次 计算 62”, 
bie a D ,车 其 中 某 个 数 为 -1(mod n), Sill n 是 以 6 为 基 的 
强 伪 素数 ;车 其 中 某 个 数 了 关 土 1 (mod 2 ) ,而 其 平方 ( 即 其 后 相 邻 
之 数 ) 三 1 (mod n), M n 一 定 是 合 数 .在 (1,n) 中 随机 抽取 T 
与 互 素 的 数 , 若 n 是 以 其 中 每 个 数 为 基 的 强 伪 素 数 , 则 我 们 关 
断 ”为 素数 ,由 定理 9.1, 可 知 判断 错误 的 概率 为 4-T. 
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$9.3 利用 ”-1 的 因子 分 解 的 素性 检验 


如 果 能 将 n-1 完全 分 解 为 素 因子 乘积 , 则 有 以 下 的 一 个 确 
定型 的 素性 检验 . 
定理 9.2 设 存 在 一 整数 a 适合 
£ al = 1 (mod n), 


对 n 一 1 的 任 一 素 因子 p, aP #1 (mod n), 

Mn 为 素数 . 

证 明 由 定理 中 所 给 的 第 一 个 条 件 可 知 a 与 n BRB 
条 件 即 是 说 a fin 的 阶 为 一 1. 由 a 的 乘 方 可 产生 1,2,…,z -1 
(mod n) 共 nn 一 1 个 数 ,它们 与 ”都 互 素 ,可 见 x 为 素数 .证 毕 . 

如 果 我 们 仅 能 将 n - 1 分 解 一 部 分 , 即 若 n 一 1= ab,5b 能 完 
全 分 解 为 素数 乘积 , 当 0<a 委 5+1 时 ( 即 当 2>w7 -IT 时 ), 有 如 
下 的 定理 . 

定理 9.3(Pocklinton) 3 n=ab+1>1,0<a<b+1,#8 
6b 的 任 一 素 因 子 p RAR BH x, l= (mod n) 及 
gcd( rD —~1,n)=1, 8) n 是 素数 . 

证 明 因为 已 知 5b 的 所 有 素 因 子 , 不 妨 假设 a 与 5b 互 素 . 用 
反 证 法 ,假设 n 有 素 因子 g, 且 g 二 Vn .对 2 的 每 个 素 因子 p, 存 在 
整数 x, ,使 zi '=1 (mod q), c§"~?/?F1 (mod q), Bl 


orda (zp)| n 一 1， ordo (2p) y 2. 


A pe, TA ord, (xp) = sp*, Ali ord a(x) lb ord, (aE. 4 
z= He, 
可 见 ord, (xz)=65, 由 此 推出 g 一 Io 及 
g > (6+1)? Salb+1) = abtan. 
因而 g= nl A gV n), a=b+1,a=1, F385, WEHE. 
定理 9.4(Proth) 34k, k<27+1,3<2" +1, M FHA 
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等 价 : 
(1) &.22+1 是 素数 ; 


(2) 3:2" = —1 (mod £2" +1). 
证 阴 (2) 二 (1): 在 定理 9.3 中 , 取 a=k,b=2”, 及 z=3, 则 
3=3t2==1 (mod k-2"+1),3¢2” 三 -1 (mod &*2*+1), 利 用 


定理 9.3, 可 知 k2” +1 为 素数 . 
(1) 二 (2): 因 31k,k*'2* +1 为 素数 ,所 以 一 定 有 名 *'2” +1= 
2(mod 3) ,利用 二 次 互 反 律 得 


(i > = (pe (4 3 =)= (3)=-+ 
可 知 (2) 成 立 . 

记 已 =22 +1 为 第 n 个 Fermat 数 ,由 定理 9.4 可 知 下 述 两 
条 件 等 价 : 

(1) F, 为 素数 ; 

(2) 3(F -D2=- 1 (mod F,). 


$9.4 利用 n+1 的 因子 分 解 的 素性 检验 


RR P,Q 两 个 整数 ,定义 序列 
uo = 0,uy = 1, ,upt2 = Pugs 一 Qu,(k 之 0)， 
称 为 Lucas 序列 . 令 


易 见 
(1 — Pr + Qr?)S = zx, 
因而 


S 


x 
~ 1- Px + Qr” 
设 z? -Px + Q 的 两 个 根 为 a,B, 我 们 有 
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at+tBp=P,eB=Q 


及 
1- Px + Qr? = (1 - ax)(1 - Be), 

所 以 

s- z _ 1 ( 1/1 

~ (1-ar)(1- Br) a-pßp\l-ar 1- Be 

= 2 th, 
比较 两 端 x’ 的 系数 可 得 

u = Eh, = OL 


HFa- B) = (a+ 8)? - 408 = P?-4Q,4 A= P*-4Q, ARH 
序列 { u; | HAR RATA a- BHVA. 

不 妨 设 A 无 平方 因子 ( 若 设 A 不 是 完全 平方 数 ,下 述 讨 论 亦 
HL) ,AX~1, 3 A=1 (mod 4) ,集合 


O = at bibl, bEZ, a=b (mod 2) 


是 二 次 域 Q (YA) 中 的 代数 整数 环 . 设 M 为 O 中 的 理想 ,O 中 两 
ATR u,v HIBS u- veEM With u=v (mod M). 

定理 9.5 Hn AFH, (n, AQ)=1. LR g 为 奇 素数 , 且 
qXAQ, BI 

(1) a,ß, a- BE O PÈ n Tk; 

(2) u,=0 (mod n) = (aß!) = (mod 2), 这 里 B 1 表示 
O PAR 1 三 1(mod n) HAE; 

(3) 车 rEO, 则 


ri = 


F Rr 在 O PHERD. 
(4) 
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uo-1 = 0 (mod q) #(7)- 1, 


Ug+1 = 0 (mod q) #(2)=- 1. 

证 明 (1) 由 于 (n,Q)=1, JwEZ ,使 Qu=1 (mod n), A 
而 在 O 中 有 apw = Qo=1 (mod ”)( 这 表示 apw -1E n+O), 7] 
见 pw (mod n) FE a (mod n) AH, aw (mod 2) 是 8 (mod n) HY 
W. HF a- B=VA, ila- BY” =A =I] (mod n), Ta 
- Bp)? :是 (ac — 8) (mod n) Kyi. 

(2) H u= (a-p) Aa- B), a -BÈ n TH, MY u=0 
(mod n)&= a*=*(mod n)<= > (aB 1)*=1 (mod n). 


(3) B r= AtA ,因而 


2r? =2% = (2r)? = (a+ bVA)* (mod q) 
二 a + BAM =atbVA- ae (mod q) 


=a + 5 (AS) (mod q), 
所 以 
r #(2)=-1, 


(4) 车 (会)=1, 则 由 (3), at= (mod q). IRE, AISI 
(mod q). BUA (aB~!)?-1=1 (mod n), 由 (2) 得 到 ug-1 三 
0 (mod q). 

#(2)- - 1, 则 由 (3) 可 知 

a"! = ats a = aa = Ba = BB = RB? = Bi(mod gq), 
因而 (op!)**! 圭 1 (mod q), 由 (2) 得 uy +;=0 (mod g)( 因 为 a， 


P 为 方程 xz? Pz + Q=0 的 两 个 根 , 故 有 © = 8.) 证 毕 . 
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利用 定理 9.5, 得 到 如 下 的 Lucas-Lehmer 素性 检验 . 

定理 9.6 Bn AFH, A=1 (mod 4),A=P?-4Q 及 
(n, AQ) =1. Æ u,41;=0(mod n), 且 对 n+1 的 任 一 素 因 子 g, 有 
(ugn) =1, A] n ARK. 

证 明 ir An ARAF, rAn AS a, p Hx- Prt 
Q=0 的 两 个 根 , 设 为 最 小 正 整 数 ,使 (a8-')* 寺 1 (mod r). A 
Un+1=0 (mod r), (n+1)/ 关 0 (mod r), 由 定理 9.5 的 (2) ,可 知 


kin +1, eS am g 是 可 为 n+1 的 任 一 素 因子 , 故 有 = nt 
1, 由 定理 9.5 的 (4) ,有 wj,+1 寺 0 (mod r) (二 1 选 其 中 一 个 ). 因 


此 (a8 1)" E= (mod r), 所 以 2+1lr 寺 1, 这 是 不 可 能 的 , 故 n 


$9.5 分 圆 环 素性 检验 


本 节 介 绍 基 于 代数 数论 的 一 个 素性 检验 方法 , 称 作 “ 分 圆 环 ” 
素性 检验 .其 主要 思想 :基于 在 分 圆 环 中 的 一 些 恒等式 , 若 n 是 素 
数 ,这 些 恒 等 式 是 对 的 ; 若 n 是 合 数 时 ,这 些 恒等式 均 成 立 的 可 能 
性 很 小 .事实 上 , 当 我 们 验证 了 所 有 这 些 恒 等 式 后 ,可 以 得 到 一 些 
RT ”的 素 因 子 的 额外 信息 ,确切 地 说 ,我 们 将 证 明 n 的 所 有 素 
因子 必须 落 在 一 个 相当 小 的 同 余 类 中 ,而 这 点 是 容易 验证 的 . 

设 n 是 待 检验 的 奇数 ,p,qg 是 两 个 互 不 相同 的 素数 , 量 pln, 
qin, plq-1.4 &, & 分 别 是 复数 域 C PFH p Kq 次 本 原单 位 
根 ,9 EZ; 的 一 个 生成 元 ,定义 一 个 特征 函数 ， 

CC* 
te gi > ei, 
显然 ,x 会 xyp,s 是 一 个 群 同 态 . x 伴随 着 另 一 个 群 同 态 x (gi 一 ~ 
Es =8 i), Bl y(a)=y(a) 1. ORME 
r(x) = = Xa) Es E 2186]. 
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引 理 9.3 rly) r(y=x(-LDe. 
证 明 因为 >) x(a) = 0, 且 


1<e<q-1 


SF gh _ a Ë k =0 (mod q), 
= 7 -1 #k #0 (mod gq), 


所 以 
r(x) + r(xX)= (> xla) ( 2 x(5)€4) 

= eed la) > xb) Eg 
= x(ab) + X(b)E W'S 
= oe xla) Ba eer” 
= x(q -1)(g-1) - ae xla) 
= x(- 1)(q-1) + y(-1) 
= ¥(-1)q 


519.4 A R=Z(8,6,],8 n RHR, MA (g) -1 
=y(n) (mod nR). 

证 明 因为 x(a) 是 p KANAR, E xz-1=1 (mod p), 所 以 
y(a)=y(a) | 


ro = >) aey 


1 委 a 委 9- 


=> x(a)” gar" 


] 委 co 委 dc-1 
= >) x(a). 2" (mod nR). 

I<a<q-1 

= (nb) (mod q), BBA 
r(x)” = >) x (ab) elet) (mod nR) 


1<a<q-1 
= x(b) 2) x(a)és 
I<aXq-1 
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= ¥(b)+ r(x) 

= y(n) ?r(x) 

= x(n)r(y). 
可 知 r(xX)” =y (n) (mod nR), HEX. 

引 理 9.4 是 Fermat (NRE BEE TALE ASHE BR p=2, 
r(x)" I= x(n) (mod nR), TRE (TT = +1 (mod 
nR), 再 由 引 理 9.3 知 (x (一 1)g)* = +1 (mod nR), BP g7 = 
+1 (mod n). 

引 理 9.$ Rr ARR, rAp,F% £5 三 £5(mod rZ [6&,]), 那 
么 eisg}, 

证 明 ”只 须 证 由 £$=1 (mod rZ[&]) 可 得 £} =1. 
Fr) bee ta tlh &, 的 极 小 多 项 式 ,那么 
©,(€5)=©,(1) = p £0 (mod rZ[6,]), 

Ei 不 能 是 户 次 本 原单 位 根 ,所 以 €4=1 ,证 毕 . 

S PRA 均 是 由 一 些 不 整除 ”的 素数 构成 的 集合 , 且 满 足 对 

任意 gE€ Q,g -1 无 平方 因子 ,上 且 所 有 素 因 子 均 在 P 中 .如 集合 

={2,3,5,7},Q = {2,3,7,11,31,43,71,211},210=5x42=2 
x3x5x7 可 验证 满足 上 述 要 求 . 

$z = [[p.o = = Ila. 容易 看 出 ,对 所 有 gE Q, 有 q-1lz,H 


对 所 有 ez H ord, lalz, 故 a*=1 (mod w). 
定理 9.7 设 P,Q 满足 如 上 所 述 的 条 件 ,假设 奇数 n 满足 
(1) 对 所 有 满足 gE Q 且 plg-1 的 素数 对 (p,qg) ,下列 同 余 
ARE: 
tlp)” -1 = Xp (n) (mod nZ[&,,& 1). 
(2) 对 所 有 pC P,Hrln 的 素数 对 (pp,r), 下 列 不 等 式 成 
立 ; 
vp( r7! -1) È »,(n?! -1), 
则 n 的 任 一 素 因 子 r 一 定 属于 集合 |ni(mod w)(0<i<z}. 
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证 明 R= Z([E,, 6,1, ep= v(m? !-1), BA 2-1=1 
+ app, play, r?-1=1+6,(r) p>, H31 9.4 知 
x(r) = r(x)” "(mod rR), 
于 是 
y(r) = r(x) -D = r(x) t- (mod rR). 
由 引 理 9.4 知 
r(x)” l= y(n) (mod nR) 
= x(n) (mod rR). 
由 引 理 9.5 得 x (7 )% = y(n), AW p Vay, PALL y(r) = 
y(n) ,其 中 ly (r) =a," 'b,(r) (mod p), Bp aplp (7)= b(r) 
(mod p). 
KP 中 所 有 素数 为 模 ,由 中 国 剩余 定理 知 ,存在 O<Ur)<z, 
且 对 所 有 p1z, 有 
Ur) =- (r) (mod p). 
WA yrn) = 1,” Chery =< g? >, g 是 Z。 中 某 个 生成 
JG, p Haid q -| 的 任 一 素 因 子 , 即 rn =1 (mod g) ,所 以 rn“? 
=] (mod w)>r=n*~“" (mod w), EHE. 
注意 到 ,条 件 (2) 的 验证 需要 知道 n 的 素 因 子 , 下 面 的 定理 解 
决 这 一 问题 . 
定理 9.8 p,q RFK, plq-1, BRE 
Xp.q(n) AI Fe t(xp.g)” T = Xp.q(") (mod nZ[€,, 6,1), 
那么 对 n 的 任意 素 因 子 r, 有 vpl -1) >v (n?! -1). 
证 明 $ R=Z([6,,é,] ,由 引 理 9.4 知 
r(x)” 1= y(r) (mod rR), 
所 以 r(X) 在 R/rR PROBE A = ord(c(yp,¢))| P(r?! 1). 
另外 ,由 条 件 知 
r(x)” -1= y(n) (mod nR) 
1 (mod rR). 
Alli h| p(n? *-1),h Yn?! - 1, plh. Dh = poh’, BA 
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h| OP 


2. 


11), vC h Kvt). 
而 Up (h’) = vy(n? 1-1), FÆ vp(r?-!-1)>y,(n?} -1), 


现在 我 们 可 以 描述 分 回环 素性 检验 算法 ; 
算法 “分 圆 环 检验 (> ) 


输入 :7 
输出 ;素数 "或 “ 合 数 ” 
. 若 n 是 一 个 完全 平方 数 , 则 输出 “ 合 数 ” 


Z< 

zx< 大 于 z 的 最 小 的 无 平方 因子 的 整数 

2.1 分 解 z 为 素 因 子 的 乘积 z= Tp, 

2.2 P=-{p;} 

2.3 Q<\qXztI1\¢q 素数 ,g 一 1|z! 

2.4 w <- TT coe 

2.5 Æ o>/n ,执行 第 3 步 ,否则 ,返回 第 2 步 


. 若 zEP 或 zEQ, 则 输出 “素数 ” 
. H n 可 被 P 或 Q 中 的 素数 整除 , 则 输出 “ 合 数 ” 
. 对 所 有 的 (p,q)EPxQ, 且 满足 plq-1, 


车 (xp.4)” —'Fyp,q(m) (mod n) MAHAR” 


. 对 所 有 的 pEP ,执行 


6.1 g< -最 小 的 modz 同 余 1 、 且 2 2°41 (mod q) 的 
素数 

6.2 若 n= g, 则 输出 “素数 ” 

6.3 若 qin , 则 输出 “ 合 数 ” 

6.4 选择 Xp E Cpa)” yp, (n) (mod n), WA 
出 “ 合 数 ” 


若 产 是 ”的 一 个 真 因子 , 则 输出 “ 合 数 "; 否 则 输出 “素数 ” 


”一 一 
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$9.6 基于 椭圆 曲线 的 素性 检验 


Miller-Rabin 检验 是 一 个 概率 型 的 素性 检验 ,利用 这 个 方法 ， 
当 输 出 结果 为 “2” 是 合 数 ”时 ,这 时 n 一 定 是 合 数 , 当 输出 结果 为 
“n 是 素数 ”时 , 仅 以 1 一 4- 的 概率 保证 n 是 素数 .$9.3 和 §9.4 
中 介绍 的 方法 , 则 是 确定 型 的 素性 检验 , 当 n 通过 这 些 方法 的 检 
验 时 ,一 定 是 素数 .但 这 两 种 方法 依赖 于 n -1 或 n+1 的 完全 
或 部 分 分 解 . $ 9.5 介绍 的 分 圆 环 检验 是 确定 型 的 ,本 节 介绍 基于 
椭圆 曲线 的 素性 检验 , 它 也 是 确定 型 的 . 

定理 9.9(Goldwasser-Kiliam) 设 n,r 为 大 于 3 的 整数 ,是 
r>(n'44+1). BA,B,a fob 为 模 n 整数 ,使 得 (a,b) 是 桶 圆 昌 
线 

E: y=zx+Art+B (modn) 

上 阶 为 + 的 点 ,那么 ,如 果 7 是 素数 , 则 nn 是 素数 . 

证 明 若 ”不 是 素数 , 则 它 一 定 有 一 个 素 因 子 pVn, (a， 
5) 是 椭圆 曲线 

Ey: y = z’+Ar+B (mod p) 
上 的 点 .由 于 是 素数 ,所 以 (a,5) 在 EE,。 上 的 阶 仍 是 x7, 因而 由 定 
HH 7.16, 
r <I E(F,) |< pt+1t+2Vp = (Vp +1 < (n +1}, 

与 定理 中 的 假设 矛盾 , 即 证 . 

定理 9.9 将 判断 ” 是否 为 素数 的 问题 ,转化 为 判断 r 是 否 为 
素数 的 问题 .一 般 可 以 使 tin 小 .于 是 反复 利用 该 定理 ,得 到 一 
串 递 减 的 数 
n= rno> n> n> > rr > (71441 ASi<s). 
4 rics) BRAM, x,_1 就 是 素数 .车 x, 足够 小 ,可 用 不 超 
过 V ~, 的 所 有 素数 试 除 ~, ,判断 x, 是 否 为 素数 . 当 r; 为 素数 时 就 
证 明了 n 是 素数 .这 是 一 个 确定 型 的 检验 方法 . 
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为 了 提高 上 述 方法 的 成 功 概率 ,我 们 要 求 每 个 xr, (O<i<s) 
都 是 概率 型 素数 , 即 要 求 它们 能 通过 Miller-Rabin 检验 .该 方法 的 
主要 计算 量 在 于 对 每 个 1(0Ni<s), WZ /r;Z 上 的 椭圆 曲线 
E;:y = 2° + Aw + Bi, 使 其 阶 为 一 个 近似 素数 kr;+1, 其 中 ri 
一 个 满足 上 述 条 件 的 概率 型 素数 ,& 是 一 个 光滑 数 ( 即 & 为 所 有 素 
因子 都 不 超过 一 个 较 小 的 给 定 上 界 ) .假设 E; 已 构造 出 来 , 任 取 
E; 上 一 点 已 , 则 Q= kP 或 为 6 ,或 具有 阶 六 +1. 所 以 在 E; 上 找到 
阶 为 ;+1 的 点 是 不 难 的 . 

r 是 概率 型 素数 ,但 我 们 假定 它 是 一 个 素数 ,这 时 可 利用 复 
乘 的 方法 构造 一 条 满足 上 述 要 求 的 常规 ( 即 非 超 奇异 ) 椭 圆 曲 线 
E;.VA t 表示 ;上 的 Frobenius 变换 的 迹 , 令 


Z = 4r; - t?, 
由 定理 7.16 TA Z 是 一 个 正 整数 . Z 可 表 为 
Z = DY’, 
其 中 是 一 个 无 平方 因子 的 正 整数 .因而 不 定 方程 
4r; = X? + Dy? (9.4) 
有 解 .曲线 E; 上 的 点 数 
HHE(F,) = r,+1-X (9.5) 


通过 选择 较 小 的 无 平方 因子 正 整 数 D ,使 方程 (9.4) 有 解 ,日 使 
HEF, ) 为 一 个 近似 素数 kr,+1; 其 中 ri+1 为 符合 条 件 Ti+1 > 
Cri" +1)? 的 概率 型 素数 ,在 D 选 定 后 ,利用 复 乘 方法 可 以 构造 
E; EHEC, ) 为 (9.5) 中 给 定 的 数 .由 于 篇 辐 所 限 ,本 书 不 能 介 
绍 复 乘 方法 ,可 参阅 文献 [19]. 
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第 十 章 ”大 整数 因子 分 解 算法 
$10.1 连 分 数 因子 分 解 算法 


设 NN 为 需要 分 解 因 子 的 正 整 数 ,假如 我 们 能 找到 两 个 整数 
A,B, 使 
A? = B?(mod N), (10.1) 
AT N|(A + B)(A-B).4 NYA+B,NVA-B,W(A+B,N) 
就 是 N 的 真 因子 ,从 而 我 们 能 分 解 .N. 当 六 为 两 个 素 因 子 之 积 
时 ,NIA+B8 或 NIA-B 的 概率 为 1/2, 若 我 们 找到 10 个 形 如 
(10.1) 的 同 余 式 ,就 有 99.9% 的 可 能 性 分 解 N. 
假设 p= 2, ps，…, pi 为 最 小 的 个 素数 (也 可 以 是 任意 选 
ER k 个 素数 ) ,首先 设法 找 出 一 批 整数 |a; |1<Si</} , E a=b; 
(mod N)(0< 6bi< N) TIRA b; 的 素 因 子 都 在 加， ,pi 之 中 . 设 


b = - Ip. 将 b: XEF, 上 的 一 个 EEC cacica) ,这 


里 当 2 为 个 数 时 ， cy =0;¢, WARN cy =1. 当 某 几 个 向 量 之 和 
为 零 时 ,它们 对 应 的 几 个 同 余 式 两 端 相 乘 ,就 可 以 得 到 一 个 形 如 
(10.1) 的 同 余 式 . 

我 们 把 上 述 因 子 分 解 的 方法 称 为 “ 同 余 式 的 组 合 方法 ”, 以 下 
介绍 几 个 具体 构造 这 些 同 余 式 的 方法 ,本 节 介 绍 连 分 数 法 , § 10.5 
介绍 数 域 第 法 . 

令 a=VN, 求 a 的 简单 连 分 数 展开 式 ,利用 8$5.2 的 方法 ， 
取 ag [VN] , 令 


-rr 1 — r 。 
“1 a- lal’ a, = [ai]; 


再 令 


, 1 po 
Q2 = ai [ai] 一 fei)’ Q2 一 Lao); 
依次 类 推 , 得 到 连 分 数 [ao,ai,az,…]. 令 

p-1=1, Po = ao, Pa = GnPn-1 + pn-2, NFI, 

g-1=9, po=1, qn = angn-1 t qn-2,， nA 1, 

WW bnlan 为 a 的 最 佳 渐 近 分 数 . 

定理 10.1 当 之 0 时 ， 

p =(- 1)" 'Q,(mod N), B 0< Q, <2vN. 

W 4 n =O MY, RK Qo=N-[VNT, 则 p= - Qo(mod 
NE Q=N-(VN-{VN}¥ = {YN} (2 WN - [VN}) 
<2VN. 

设 n> 工 ,根据 第 五 章 定理 $.4 的 证 明 ,我 们 有 

(— 1)” 


Pu an = aga + dna’ 
及 
_ Satin + pa-l 
an+lgn + Qn-1” 
因而 
2 __ 2aq,(— 1)! 1 


”三 一 7 mod N 
Bntidn + Qn- (antan + PA ) 


= -1 21 ° 2 ( 7 dn 
( ) z Ant19n + Qn-1 
+ _ 1)""! 
2 an+ Pn + Pa-1) (@n419n + an- 
— - 2an PnGn + 2p ~19n + (一 1"! 
=(- 1)" + 2a pH alt 
) “"\ 2a 41 Pn + Pn-1)(antign + qn-1) 


— 一 2an+1P Gn + prqn-1 + pr-_14 
=(-— 1)” 1, 2 人 7 1 nin -1 n-ldn ) 
( ° 2(an+1 Pn + Pn-1) (an 41Qn + qn-1) (mod N). 


由 于 apl, EBA FDP SEE, HUE 0<Q,<2/N. 
由 定理 10.1, AY 六 的 连 分 数 展开 , 可 以 得 到 一 批 同 余 式 
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J) (mod N) 


) mod N) 


p2=(-1)""!Q, (mod N), HF 0<Q,<2/N, A Q, 比较 
小 , 它 的 所 有 素 因子 很 可 能 在 我 们 预先 选 定 的 个 素数 p1，…, De 
之 内 ,符号 ( -1)"-1! 也 可 把 它 作为 一 个 素 因子 处 理 . 利用 上 述 “ 同 
余 式 的 组 合 方法 ”, 可 以 得 出 一 批 同 余 式 (10.1). 我 们 把 p1，…, pr 


这 组 素数 称 为 分 解 基 , 可 以 证 明 当 p | Q, mea (z) =1, 所 


以 应 选取 适合 (2) =1 的 素数 组 成 分 解 基 . 在 计算 时 ,我 们 用 分 解 
基 中 的 素数 去 试 除 Q, ,设法 找 出 素 因子 全 部 在 分 解 基 中 的 那些 
Q, ,这 是 连 分 数 因子 分 解 算法 中 最 费时 间 的 一 部 分 . 

4 L(N)=exp(/log Nloglog N), 可 以 证 明 上 述 标 准 的 连 分 
数 因子 分 解 算法 的 计算 量 ( 当 Nom) LNP ODO (9 (1) 
示 一 个 无 穷 小 量 , 当 N->co 时 它 趋 于 零 ) .将 上 述 方法 作 适 当 变化 
后 ,该 浙 近 计算 量 可 改进 为 L(N)!+00. 


$10.2 二 次 得 法 


令 Q(z)=([VN]+z)2-N, 因 而 Q(z)s([VN]+z)2 
(mod N). 4 A4OW,0<Q(A)<2/VN/Al| + A?, 所 以 当 
|A|<N'iY, Q(A) 近 似 于 2vN|A|, 其 值 较 小 , 它 的 所 有 素 因 
子 很 可 能 在 分 解 基 p< < ps 内 .但 我 们 可 以 不 用 像 使 用 连 分 
数 方 法 时 ,依次 用 分 解 基 内 的 素数 去 试 除 Q(A) ,以 确定 它 的 所 有 
素 因 子 是 否 都 在 分 解 基 内 . 


设 分 解 基 内 的 素数 都 适合 (人 ) =1,# p 为 分 解 基 内 的 一 个 

素数 , 同 余 方程 
Q(x) = 0(mod p) 
AMME A Ar. FER - M<2<M(M 预先 选 定 ) 内 ,将 所 有 
的 Q(z) 计 算 排列 起 来 . 当 2=A, 或 zx=A?(mod p) Ht, Q(x) hE 
被 p 除 尽 ,因而 我 们 可 以 第 出 这 些 x, 并 计算 Q( 2) /p MERE 
Q(z) 储 存 . 对 分 解 基 内 的 每 个 素数 ,重复 上 述 过 程 .最 后 , 若 对 某 
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个 了 ,对 应 它 所 存储 的 Q(z) 志 pr BORE x 就 是 我 们 所 要 筛选 
的 .在 这 个 筛选 过 程 中 ,我 们 并 不 用 分 解 基 中 的 素数 对 Q(x EAT 
试 除 ,做 很 多 除法 ,而 是 仅 当 知道 Q(z) 是 p 的 倍数 时 才 做 除法 ， 
这 节省 了 计算 时 间 . 

在 以 上 的 筛选 过 程 中 ,我 们 没有 考虑 Q(z ) 能 被 分 解 基 内 的 
RHE PRN A OL. 如 果 要 考虑 素数 军 , 我 们 在 计算 Q(z)/p 
后 ,可 以 再 用 p 去 试 除 它 , 或 者 对 应 某 些 素数 的 短 pt ,利用 同 余 式 

Q(x) = 0(mod p*) 
的 解 进行 筛选 . 

4x 增加 时 , Q(x) 会 迅速 增加 ,因而 它 的 素 因子 很 可 能 会 超 
出 了 分 解 基 的 范围 ,这 是 上 述 方法 的 一 个 缺点 .我 们 可 以 在 适当 的 
时 候 ,选用 另 一 个 二 次 多 项 式 ,以 得 到 较 小 的 多 项 式 的 值 ,这 称 为 
重 多 项 式 二 次 筛 法 .下 面 介绍 两 个 变换 二 项 式 的 方法 . 

在 利用 Q(x) 进行 第 选 的 过 程 中 ,假如 我 们 遇 到 了 一 个 Ao; 
其 对 应 的 Q(4o) 有 一 个 大 素 因子 9,g 不 属于 分 解 基 , 但 QCA) 
的 其 他 素 因 子 都 在 分 解 基 内 . 定义 Qj (zr)= Q(Ao+ gr), BH 
qi Q(z),Qs(z)/q~2VNIz|.Q(0) = Q(4o) 是 我 们 已 有 的 
数 ,而 当天 0 时 , Q, (xz)/g 是 一 批 新 的 数 ,以 Q, (2) RE Q 
Car) , 仍 用 同样 的 分 解 基 进 行 筛选 .不 过 这 时 我 们 知道 每 个 Q,(x) 
都 有 一 个 素 因 子 v ,而 Q(z)=([V NI+ Ao + gr)? (mod N). 这 
个 方法 是 Davis 和 Holdridge HEK Ay. 

P. Montgomery[33] 提 出 另 一 种 方法 ; 令 F(x) = ax? +2br + 
c, #4 N|b?- ac, i 

aF(x) = (ax + b)? — (b? ~ ac) = (ax + b)? (mod N), 
Bl aF (2) BN 是 平方 剩余 , 4 -MLM 时 ,我 们 希望 


1F(z)| 较 小 .为 此 , 取 。 ARB. ax 2N, TONERE 


适合 652 二 a (mod N), bc N ,因而 b? -ac=N.BUES ER 
条 件 不 同 的 a ,就 可 得 到 不 同 的 二 项 式 ,而 | FC) | EE Q(x) 
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的 值 (在 区 间 - MM 内 ) 略 小 . 
经 过 适当 改进 后 ,二 次 筛 法 的 计算 复杂 度 也 可 达到 
L(N) + (No), 


§ 10.3 Pollard 的 p -1 因子 分 解 算法 


本 节 介 绍 另 一 种 类 型 的 因子 分 解 算法 . 
设 p 为 奇 素数 ,由 费 马 小 定理 2.6 可 知 
2°-1 == 1 (mod p). 
E m 为 任 一 整数 ,p —1| m , WA 2"=1(mod p). 

设 NN 为 要 分 解 的 整数 ,p 为 N 的 一 个 奇 素 因 子 , p 是 未 知 的 . 
Æ p-1lk!, W p| (24-1, N), HEO! 一 1,NN) 就 可 将 N 分 解 . 
我 们 可 以 依次 计算 (2 一 1,N),i=1,2,…, 当 i 足够 大 时 ,就 可 
能 得 到 N 的 分 解 . 

我 们 也 可 以 用 pipro ps (最 小 的 个 素数 之 积 ) 代 蔡 &!, 当 
p-1 的 素 因 子 都 在 p1,…, ps 之 中 , 且 没 有 重 因子 时 ,我 们 就 可 
能 成 功 分 解 N. p-1 有 重 因子 的 情况 是 很 少 发 生 的 . 

Pollard 的 p — 1 算法 是 利用 了 群 (Z /p2Z )* ,我 们 也 可 以 利用 
其 它 的 群 .椭圆 曲线 因子 分 解 算法 就 是 这 种 类 型 的 一 个 算法 . 


$10.4 椭圆 曲线 因子 分 解 算 法 


$10.3 介绍 的 Pollard 的 p - 1 因子 分 解 算 法 基于 乘法 群 
(Z/pZ ) .我 们 也 可 以 利用 其 它 的 群 .本 节 将 介绍 的 椭圆 曲线 因 
子 分 解 算法 基于 F。 上 的 椭 贺 曲线 上 的 点 所 形成 的 群 E(F,). 由 
于 F, 上 的 椭圆 曲线 可 以 有 很 多 不 同 的 选择 ,这 可 以 增加 分 解 成 
功 的 可 能 性 . 

设 NN 为 要 分 解 的 合 数 ,我 们 将 利用 环 Z /NZ 上 的 椭圆 曲线 ， 
但 我 们 并 不 打算 严格 地 引入 环 上 椭圆 曲线 的 概念 (关于 这 方面 的 
内 容 可 以 参阅 Katzl20 ) .实际 上 我 们 仅 需 要 利用 其 上 的 一 个 子 集 ， 
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其 有 有 限 域 上 椭圆 曲线 的 概念 就 可 以 了 . 
RN 92,3 2R,a,b€Z/NZ H 4a? +27 与 N 互 素 , 方 


程 


yH=xrtarts 


定义 Z ANZ 上 的 椭圆 曲线 E, RE, , LAR 
Vn = {(z,y,1)|z,y E Z/NZ} U IO 
其 中 9 = (0,1,0). RAVE Vy 上 定义 “加 法 运算 ”. 

KP,QE Vy, AR ERP 与 Q 之 和 .车 P=0, 则 R=Q; 若 
Q=0, 则 R=P. 当 P 关 9,Q 关 0 时 , 记 P= (2155151),Q=(2, 
3251), 01H gcd (zl - zz,N), 若 它 是 N 的 真 因子 ,计算 停止 ; 若 
gcd (zi 一 Zz2,N)=1, 计 算 

à =(y1 = y)(zx1— 22) 1,23 = à? — T1 ~ x2, 
y3 =A(z1- z3) — y1, 
这 时 R = (zx3,y3,1); 若 ged (x1~- x2, N)=N,Bp x, = x2, 计 算 
gcd (y1 + y2, N) ECE N 的 一 个 真 因子 ,计算 停止 ; 若 ged (yı 
+ y2sN)=N, BD y= - y2, M] R=0;# ged (yi + yz,N)=1, 计 
算 
A =(3zt + a)(y, + y2)-1, 
T3 =2?- r; 一 22, 
y3 =A (z1 ~ z3) ~ yi, 
这 时 民 =(zx3,y3,1). 以 上 定义 的 “加 法 "运算 ,计算 的 结果 或 是 得 
到 N 的 一 个 真 因子 ,或 是 得 到 R=P+ QE Vy. 

N 给 定 后 , 任 取 (a,a,8)E(Z /NZ), 令 b= F-a - aa 
(mod N), RIFE 4a3 +276? 与 N 互 素 , 则 得 到 Z /NZ 上 的 椭圆 曲 
线 E,,,( Gil AR (a,a,8) ik). 4 p= (a, ß,1), P HE, , 
上 的 一 点 , 取 一 大 整数 kA R= il ,或 用 其 它 取 法 ) ,计算 RP. 
由 上 述 Vy 上 “加 法 ”的 定义 ,可 能 有 两 个 计算 结果 ,一 是 在 计算 过 
程 中 找到 N 的 一 个 真 因子 ,这 时 分 解 N 成 功 ; 另 一 结果 是 算得 
R=kP€ Vn, 这 时 分 解 NN 没有 成 功 ,可 以 另 取 一 组 (a ,a,8), 重 复 
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上 述 计算 .这 就 是 椭圆 曲 线 因 子 分 解 算法 , 它 是 一 个 概率 型 算法 . 

下 面 给 出 一 个 能 使 该 算法 分 解 成 功 的 充分 条 件 . 设 N 至 少 有 
两 个 素 因 子 p 和 g,p AN 的 最 小 素 因子 . 记 P=(a,8,1),P,= 
(a(mod p),B(mod p),1),@=(a mod p),b=b (mod p),a= 
a (mod q),6= (mod q) ,假设 下 述 条 件 成 立 ; 

(1) 4a? + 276?40(mod p), 463+2762 和 天 0(mod q); 

(2)| Ez, (Fp) Æ k WAF; 

(3) P, 在 Ei,s (F) PRB ord P, 的 最 大 素 因 子 不 是 
| Ea, (Fp) |WAF; 

则 计算 kP 一 定 能 得 到 NN 的 真 因子 . 

利用 反 证 法 ,假设 计算 RP 得 到 Vy 中 的 一 个 点 , 则 对 任意 
O<k'<k, k P WE Vy 中 的 一 个 点 . 设 ord P, 的 最 大 素 因 子 为 1， 
由 于 ord Po ,| |Ez,3(Fp)| |k, $ ko =ord PV, 因而 

koP, #0p,  kolP, = Ôp, 
Op H Esa FO EKRA TA. AF Vy 中 的 任 一 点 尺 , 当 且 仅 当 
R=O8f, R, =Op. AL kolP=0, 这 时 ko lP, =0,. 由 于 条 件 (3)， 
可 知 koP, =04, 从 而 koP=0, 这 与 上 述 ko P, HO, FJA. 

H.W. Lenstra, Jr. 526 在 某 些 假设 成 立 的 前 提 下 证 明了 椭圆 
曲线 因子 分 解 的 计算 复杂 度 为 

e110(1))V Tog N Tog Tog N 


„N> oo， 

这 个 证 明 所 需 的 椭圆 曲线 知识 超出 了 本 讲义 的 范围 ,这 里 不 再 叙 
述 , 当 N 的 第 二 大 素 因 子 接近 YNz 时 ,这 个 方法 所 需 计算 量 最 
大 .有 一 些 其 它 的 因子 分 解 算法 ,例如 连 分 数 因 子 分 解 算法 和 二 次 
得 法 ,也 具有 上 述 相同 的 计算 复杂 度 . 当 N 为 二 个 大 小 接近 的 家 
因子 乘积 时 ,利用 二 次 得 法 最 为 有 效 . 但 椭圆 曲线 因子 分 解 算法 也 
是 一 个 在 很 多 情况 下 需要 利用 的 重要 的 因子 分 解 算法 . 


$10.5 数 域 筛 法 


数 域 得 法 是 目前 最 有 效 的 大 数 分 解 算法 ,这 种 算法 的 期 望 时 
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间 复 杂 度 为 
1 64 440(1) 
u(3($) 小 

其 中 n 是 待 分 解 的 大 整数 , L, (a,b) =exp(b(log n) (log n) “). 在 
1990 年 ,A.K. Lenstra 等 人 用 特殊 数 域 筛 法 成 功 地 分 解 了 第 9 个 
Fermat 数 Fe=252+1, 这 是 一 个 155 位 的 整数 ,由 于 Fo 的 一 个 7 
位 素 因 子 Py 在 分 解 前 就 知道 ,实际 上 他 们 将 Fo /P7 这 个 148 位 
的 整数 分 解 成 一 个 49 位 整数 和 一 个 99 位 素数 的 乘积 . 而 用 其 它 
的 分 解 算法 都 没 成 功 . 至 今 为 止 ,用 一 般 数 域 得 法 分 解 的 最 好 记录 
是 1999 年 8 月 ,分 解 了 一 个 RSA-155,RSA-155 是 两 个 78 位 (256 
bits) 的 十 进 制 素数 之 积 , 所 用 的 机 时 大 约 为 8000 mips year. 

数 域 筛 法 和 连 分 数 分 解 算法 、 二 次 筛 法 一 样 .都 属于 同 余 式 的 
组 合 方法 范畴 ,关键 的 不 同 之 处 在 于 收集 关系 的 方式 不 同 . 顾 名 思 
义 , 数 域 得 法 要 涉及 到 代数 数 域 的 理论 . 它 的 思路 大 致 是 :选择 一 
个 代数 整数 6KQ, 由 此 产生 代数 数 域 K = Q(0), 令 f(x)E€ 
Z [zj 是 6 的 极 小 多 项 式 ,假若 知道 一 个 整数 m 使 f( mm) = kn , 那 
么 就 可 定义 从 K 的 阶 Z [9] 到 剩余 类 环 Z, 之 间 的 环 同 态 


p( Šia )= Sami (mod n). 
我 们 希望 能 找到 一 个 有 限 集 合 
SE {(ab) € ZXZ |ged(ab) = 1}, 
同时 满足 
了 (a + 6m) 是 Z 中 平方 元 ， (10.2) 


(ep)ES 


Il (a+) ”是 Z [91 中 平方 元 . (10.3) 


(ables 
S x FE(10. 2) EAB, 是 (10.3) 的 平方 根 .那么 
g(a”) = z2(mod n). 
令 y= g(a) , 便 得 同 余 式 
y == r’ (mod n). 
下 面 只 需 计 算 ged (z - yn) ,期 望 找到 的 一 个 因子 . 
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上 述 整个 过 程 中 ,有 上 几 个 假设 ,因此 如 何 实现 这 些 假设 是 数 域 
得 法 可 用 性 的 关键 : 
(1) EHA /和 整数 m 如 何 构造 ? 
(2) 集合 S 如 何 构造 ? 
(3) 元 素 aEZ[9] 如 何 寻 找 ,使 a? 为 (10.3) 式 ( 即 Z[9] 中 求 
平方 根 的 算法 )? 
(4) 每 一 步 所 花费 多 少时 间 ? 
寻找 多 项 式 
首 一 整 系数 多 项 式 F(z) 和 整数 m 的 选择 要 满足 
f(m) =0(mod n). 
首先 选 定 f 的 次 数 为 4 >1 ,为 整个 算法 尽 可 能 简单 ,4 一 般 较 小 . 
一 种 最 简单 的 方法 是 取 m =[n3], 然 后 将 ”写成 加 进 制 形式 
n = cam? 十 … +t emt co, 0 委 ci< m. 
令 F(z)=care+… +err +t co MEKAAR. 
引 理 10.1 #d>1 E n2, A ca=1, c41 Ld. 
证 明 BA m=(n2], A m<nt<m+l, FE 
mi < n<(m+1) = mt D (FẸ +1, 
i=l 


而 对 1<i<4 -1, 有 二 次 式 系数 不 等 式 ( j<24 -2< 坟 -2< 
m ~1, 因 此 上 述 右边 的 等 式 事实 上 是 (m +1)2 的 m 进 制 表示 , 故 
ca=1,¢a-1d ,证 毕 . 

假若 f(x) TA, BN f(x)= g(x)+h(x),1<deg g(x)<d, 
那么 

n = g(m)h(m) 

给 出 n 的 一 个 非 平 凡 的 分 解 ,这 一 步 完全 由 整 系数 多 项 式 的 分 解 
算法 来 完成 . 若 用 附录 中 涉及 到 L -算法 的 分 解 算法 ,那么 ”分 
解 的 复杂 度 为 (log n)* .因此 以 后 均 在 下 面 的 条 件 下 讨论 ; 

(1) n>2%; 

(2) m=Lna]; 
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(3)f(z)= Bex! € Z[z] 不 可 约 ,其 中 = Dem 0< 


i=0 i=0 
ci < m. 


引 理 10.2 (AC) < Adini, 
证 明 由 习题 6.2 可 知 ,|A(f)|= |res(f,f)|= jdet MI, 


其 中 
1 Ca Ci Co 
1 Cai 
— l Ci Co 
d (d- 1) Ch, Ci 
d oe 
d (d@-l)e,, … Ci 


用 d BRUM 的 后 d 行 后 再 用 mx 除 以 后 24 -3 列 ,最 后 用 ca-i 
第 一 列 去 减 第 二 列 得 矩阵 


1 0 Sue & 
m 
1 Sas & g 
m m m 
M 1 Ca Eo 
= m m 
1 Ea (d- 2c,, £L 
d md md 
] tee 
1 (d— 1)c G 
md md 


因此 detM = d4m24-3detM’. 注意 到 ,矩阵 M' 中 每 一 个 元 素 的 绝 

1 i 
对 值 均 壹 1, 前 d -1 MUL BK <(d+1)?, Bd ft 
向 量 的 欧 几 里 得 长 度 过 4 ,由 附录 引 理 A.2 的 Hadamard KER 
可 知 

d-i qg 
det M < (d +1)? d2, 

故 


d-1 qd 
det M <d4m743(d +1) 2 d2 
Kd 8 (ad E nt < dee, 
证 毕 . 
得 法 
首先 寻找 有 限 集合 Ti ,使 得 Ti 中 的 每 个 元 素 (a ,5) 所 确定 
的 a+ bm 都 是 y -光滑 的 . 
S 为 一 个 事先 约定 好 的 相对 于 n 较 小 的 正 整数 ,首先 用 筛 
法 构造 集合 
U = {(a,6) E€ Z | ged(a,b) = 1,lal<u,0<b< ul. 
然后 选择 一 个 和 n 有 关 的 参数 y= y(”) ,再 用 筛 法 获得 一 个 U 
的 子 集合 
Tı = {(a,b)€ Ula + bm Èy- 光滑 的 }. 
RRE, MET b(0<b<u), CHIRE S AK. Be b 
的 每 个 素 因 子 , 用 试 除法 去 筛 a, RFR (a,b) ARES U, 
然后 固定 5, 对 每 个 (a ,5 )E U ,赋予 一 个 初始 值 S, =0, 取 每 个 素 
数 p< y, 对 那些 满足 a= - bm (mod p) 的 对 (a,65), 令 S, +logp 
一 S., 当 户 取 完 后 ,对 那些 通 近 log| a + bm | 的 S, ,对 应 的 a+ bm 
就 是 y -光滑 的 .这 样 Ti 就 构造 好 了 . 
定义 aE€2Z10] 是 >- 光滑 的 , 若 N(a)€E2Z 是 y -光滑 的 .已 知 
f(a) = at + cg-yat +++ co RARBG 
N(a + 0) = a? — cg-yat lb + + + (—1)4c9h4 = Fla,b), 
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其 中 F(2,y)=(- yI- x/y). BAA LRA OER 
得 集合 
T = {(a6) € Ula + b0 Èy- EW}. 

这 样 便 用 秘法 构造 了 集合 T=T T, 对 任意 (a,6)E€ TT,a + bm， 
F(a,5) 均 是 y -光滑 .在 实际 中 ,为 了 能 找到 更 多 的 关系 ,在 对 a + 
bm ,F(a,6) 同 时 得 的 过 程 中 允许 a + bm ,F(a,5) 有 生 只 有 大 于 y 的 
素 因子 (3. 还 有 一 种 称 作 格 得 的 算法 去 构造 集合 本 ,用 一 些 特殊 的 格 
BSP HINT LL EPR OAR (PRR) ROR 

下 面 的 目的 是 寻找 一 个 有 限 集 SCT 1848 (10. 2) F(10. 3) 
式 均 成 立 . 显然 要 把 注意 力 放 在 (10.3) 式 上 , 即 


Il (a+) ”是 Z[0] 中 的 平方 元 . 


(ab)ES 


事实 上 ,我 们 可 以 放松 条 件 ,只 需 存在 "GE 天, 使 得 


此 时 ,> 一 定 在 Og 中 ,由 引 理 6.3 知 rf(9)E2ZT9], 因 此 
ror IL (a + b0) (8327 [ 6] 中 的 平方 元 . 


ab)€ES 
又 因为 1<f'(m) <n, BFK gcd (f (m),n)=1, RWE ET 
n 的 一 个 真 因子 ,这 样 ,用 fm’ II (a + bm) 代 换 (10.1) 式 
ab)ES 
不 会 影响 对 n 的 分 解 . 

首先 考虑 Z[ 9] 中 哪些 素 理想 包含 a + 6b6. 

引 理 10.3 Z[0] 中 的 一 次 素 理想 8, 一 定 有 形式 (p,0-) 一 
pZ[6]+(6-r)Z[O], # +} 访 是 某 个 素数 ,7 为 满足 f(r) 二 0 
(mod Pp) 的 整数 . 

证 明 因为 deg8 = 1, 即 2 和 OP ,因而 存在 一 个 满 同 态 wp， 
Z10] 一 已 ,使 得 Kerp =@. 


设 r= gp(9), 那 么 f(r)= F(p(g))= Pp(f(0))=0(mod p). 
断言 8 = (p,0 一 7), 显 然 (p,0 一 rì)? ,反之 ,对 任意 aE, p Æ 
157. 


用 a = Sat, 可 知 0 = Z a (mod p). 于 是 


a= Sag - Yay! = (8 = r)(a(6)) (mod p), 


其 中 a(0) EZ[0], 故 a€(p， 0 一 +), 证 毕 . 
上 述 引 理 的 道 命 题 显然 也 是 成 立 的 ,以 后 令 
R(p) = Ir € F,|f(r) =0(mod p)}, 
这 样 ,Z [ORR EMBO ( por) (r€ R(p))-— X 

318 10.4 a,b 是 互 素 的 整数 ,8 是 Z 10] 的 素 理想 , 车 
a+b0E8 ,那么 deg8=1. 

证 明 RON Z=(p), AN a+ OEP, p15, 否则 a€ 
ZNP = (p) JX gcd (a,b) =1 FR. c (HF bc=1 (mod p), 
EBA 0 = — ca(mod €), MZ ([O]/ P=F, , BA deg? =1, HE. 

HF N(a + 20) 是 个 整数 , 现 将 其 写成 素数 的 乘积 ,有 形式 

N(a + 66) =+ Te. 


p 跑 遍 所 有 的 素数 . 

引 理 10.5 Ra,b 为 一 对 互 素 的 整数 ,p 是 素数 , 则 
vp(N(a+ 60))>0 当 且 仅 当 存 在 rER(p) 使 得 a+b0E%=(p， 
0—r). 

证 明 (<=) 令 A=Z[0], 因 为 (a + DO)ACESA ,那么 

p= N(®) = 1A/Y?|||A/a+60)A|= |N(a + 60)|, 
故 v,(N(a + 60)) >0. 

(>) AA CN Ca + 06)) > 03h 
N(a + b0) = at - caiad lb + +++ + (— 1)fagb? = 0(mod p), 
直接 推 得 p15, 否则 和 gcd (a 6) = 1 FIG, r= -abl (mod 
p) ,在 上 面 的 同 余 式 两 边 同 乘 b “得 

f(r) =0 (mod p), 
OS (p,0-r)E— KREE. a + 06=5(0—1r) (mod p)E 
g ,证 毕 . 
对 任意 素数 p ,rE R(p), 定 义 符号 
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€p,r(a + b0) = 


这 样 可 表示 


人 + 60)), #a+ br =0(mod p), 
0, 否则 . 


N(a+60)= + Ilp ato 6) 
对 任 一 非 零 素 理想 g, 由 8$6.1 知 ,存在 igi: K*>Z 的 群 同 态 , 且 
IN(z)1=]eg N(@)'S BIR 2 =a +6 6 MERES, AT 
直接 得 如 下 推论 : 
推论 10.1 a,b 是 互 素 的 整数 ,8 是 Z[09] 的 一 个 素 理想 , 屠 


a 
9), 二 (Pp,0 一 rr) 有 是 一 次 素 理 想 ， 
we(a+ 60) = ), 8 =(p ) 是 一 次 素 理想 
0， 否则 . 
引 理 10.6 令 SCi(a5)EZ XxZ1(ab)=1) 是 有 限 集 , 且 
II (a+6)=h, AEK, 
(ab)ES 
那么 ,对 任意 素数 记 , 以 及 rER(p) 有 
ae £p, (a + 68) = 0(mod 2). (10.4) 
证 明 ie = C, 09/) 是 Z19] 的 一 一 次 素 理 想 ,那么 


Dy ep „(a + 8) = >) lọla +b) 
(ap)ES (ap)ES 
=lo( [| (a + 60)) 
(abB)ES 
=lp(h?) = 218(h) = 0(mod 2). 
证 毕 . 
(10.4) 式 给 出 了 il ,4 + 88) 是 平方 元 的 必要 条 件 ,但 不 是 


充分 条 件 . 如 对 不 包含 1 的 平方 根 的 数 域 K,RS={(~-1,0)}, 
便 给 出 了 一 个 反例 . 

我 们 可 以 用 解 F, 上 线性 方程 组 的 算法 , 求 得 了 的 一 子 集合 
SCT , {84% 
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5 lọ(a + b8) = 0(mod 2), 


(ab)ES 


即 
lp( T (a + 68)) =0 (mod 2), 


(ap)ES 


其 中 8 是 一 次 素 理想 , 且 N(8) 魏 y, 要 注意 的 是 ， J fat or 


一 定 是 K 中 的 平方 元 .为 了 刻画 面 它 和 平方 元 之 间 有 多 大 距离 我 
们 构造 集合 
V={a€K* | 1g (a) =0(mod 2),? NZ [0] 中 任 一 素 理 


想 | .因为 /6 是 群 同 态 , 所 以 KV ,将 商 群 VAK“ 很 自然 看 做 
记 -线性 空间 , 它 的 维 数 反映 了 VAK 之 间 的 区 别 大 小 . 
定理 10.2 $m, f,d>2, n> P AH, MZ 
dimp, VW/K* < logn Jog 2, 
Bp [VK* |<n. 

WHA $ Wire K* rog= 吧 ,6 是 分 式 理想 } ,由 引 理 
6.13 知 V2W,LV:WI< [Ok:Z[0]].& O% 是 Ok 的 所 有 乘 
法 可 逆 元 构成 的 集合 , Y= Ok .K* ,于 是 有 子 群 链 

V2W2Y2K*“ 
考虑 群 同 态 
p:W—> C(Ok) 
rm 1, 
其 中 rOk =a", BR ker 9 二 了 . 故 
[W:Y]<I C1(Ox) l= ACK). 
而 Y/K* 显然 同 构 于 Of /OX , 且 由 Dirichlet 单位 定理 (定理 6. 
8) 知 ,dimr OF /Ok = ry trz ik 
[Y:K* ] 一 Fritr, = 2072, 
综合 上 述 得 
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[V:K"']<[Ox:Z[@]]- ACK) «27°, 
$ Ax AK 的 判别 式 , 由 定理 6.6 知 


加 d-1 
n(K) < M - dto MT, 


KP OM = (d! /d*)(4/n)2./ TAg| Æ K 的 Minkowski 常数 , 令 A 
是 f 的 判别 式 , 那 么 由 引 理 10.2 可 知 

MSV |Ak] <v |Ak|[Or:Z[0]] = VTA] < dn! 374 | 
又 因为 d>2,H n>d ,可 直接 推 得 

d-1+dlogd< log n, 2d» (2log n)! < 4374, 
因此 
x? d! 4 72 

[V:K* ]<[Ox:Z[6]]- il ) 


A 


d-1 
+ / Tag) Vt oe TAD ya, 


=A 2a(d -1 + dlog TAI) « (2) 


Car-1 


<n 4. 4g 24d -1+ digd + (1 - 5 low nti 
<n 374 . 2d (log n) < n. 
WE. 
特殊 数 域 筛 法 
特殊 数 域 得 法 的 特殊 性 是 假设 Ok =Z19] 是 唯一 分 解 整 环 ， 
由 习题 6.13 知 ,这 等 价 于 Ok 是 主 理 想 整 环 . 此 时 ,对 代数 得 法 有 
更 精确 的 描述 .首先 求 出 每 个 所 有 一 次 素 理想 (p,r)(p 过 y) 的 生 
成 元 x, 这些 n 的 全 体 构 成 集合 GC. 由 上 述 筛 法 就 可 知 ; 对 (a ,4b) 
E T2 ,能 求 出 wsE N 使 得 a+ 60 和 IT x 相伴 . 即 相 差 Ui 中 的 


一 个 元 素 . 由 $6.2 可 知 ,存在 算法 可 计算 出 一 个 基本 单位 系 el， 
esel r=rit r1) 和 Wx 的 一 个 生成 元 se ,| ,那么 
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a+b = Îi e . ] r. (10.5) 
FASTER ABT A 作用 上 式 ， 得 


àla + b8) - Duta (x) = Saale: ). 
因为 17(ei)} _, 是 线性 无 关 向 量 ， 故 求解 上 述 线性 方程 组 ， 即 可 


给 出 具体 的 A XE A, ，; 的 确定 只 需 比较 (10.5) 左 右 两 边 复数 的 辐 
角 即 可 .特别 9 是 实数 时 ,e, ,; = -1,) ,; 的 取 值 只 需 看 (10.5) 左 
右 已 知 实数 的 正 负 号 即 可 . 这样, 我们 便 有 如 下 的 特殊 数 域 筛 法 ， 


令 


T=T, N Tz = |(a,6)\ gcd(a,b) = 1,lal<u0<b<u, 
(at+tbm)N(at+bm) 是 y- 光滑 的 }， 
定义 
B =x(y); 
B’=|{(p.r) = (m)l p 二 yy, 是 素数 ,r € Rp); 
B’ = ry + rz; 
G =|p1,°", pp} 是 有 理 得 法 的 因子 基 , 即 p, 素数 ， 
E pı << mS y; 
IL = fx，… ny |x; 是 范 数 不 大 于 y 的 一 次 素 理想 
的 生成 元 | ; 
D = ler egle sey, 是 一 基本 单位 系 ,es 是 
Wx 的 生成 元 }; 
工 和 之 构成 了 代数 筛 法 的 因子 基 ,为 明确 起 见 ,将 (10.4) 写 成 
B A(atb6 B at 
a+b = Ie ‘TT a! ba) 
构造 映射 
e: TR PROE 
(a,b) > (e) crc BBR? 
其 中 
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0, Batbm>d, 
1, Fatbm<0; 

e; =v, (a + bm)(mod2), 1S iS B; 

ena; =u; (a + bo)(mod2), ii<B; 

egari =A;(a + BW)(mod2), 1Si< B; 

若 选 取 TE) T | >1+ B+ B + B’ ,那么 用 求 F, 上 线性 方程 组 

解 的 算法 可 获得 一 个 非 零 集合 SCT 使 得 
>) e(a,b) = 0. 


{a,b)ES 


eo = 


这 样 
J] (a + bm) BZ 中 的 平方 元 ， 


(a,b)ES 


TT (a + 00) 是 Ok 中 的 平方 元 . 


(a,b)ES 


二 次 特征 (Adelman 方法 ) 
首先 考虑 一 个 比较 简单 的 问题 ,以 给 我 们 启迪 .2Z 中 一 个 非 零 
整数 a 是 Z 中 的 平方 元 , 当 且 仅 当 a >0, 且 对 任意 素数 p, 


(pla). (4 ) =1. 设 X 是 Z 中 的 一 些 素 数 构成 的 有 限 集 , 若 对 任 


意 不 在 X 中 的 素数 p, 均 有 Legendre 符号 ( 人 } = 1 ,试问 此 时 a 
是 否 是 平方 元 ,或 它 离 平方 元 有 多 远 呢 ? 对 Q 中 的 元 素 a 是 平方 
元 当 且 仅 当 a >0, 且 v,(a)=0 (mod 2) 对 所 有 素数 p. 记 - 
Vx= laEQ |vp(a)=0 (mod 2) 对 任意 PEX), 
那么 Vx/Q* 看 做 F2- 线 性 空间 维 数 为 |X| +1, 且 有 代表 元 集 
(= 1) py pe | ei E 10,11,X = {pi pot t 

对 任意 素数 p EX, Legendre 符号 (五 ) 自然 可 看 做 是 Vx/Q* 上 的 
线性 映射 , 称 作 Legendre 特征 .而 Vx/Q* 的 对 偶 空 间 ( 即 全 体 线 
性 映射 构成 的 集合 ) 有 维 数 为 | X | + 1. ED) (p LX) BH 
Vx/Q" 上 的 随机 的 线性 映射 ,那么 只 要 取 适 当 多 的 Legendre 特 
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征 ,就 可 能 构成 Vx/Q” 的 对 偶 空间 的 一 组 基 . 假若 在 这 组 基 下 ， 
对 a 的 作用 均 为 1, 那 么 a 就 一 定 是 平方 元 . 

引 理 10.7 $k, ,r 是 非 负 整数 , 巨 AF, LR 维 向 量 空间 , 那 
么 ,用 以 一 致 分 布 随机 独立 地 从 E PRR +r 个 元 素 , 使 其 构成 E 
的 一 个 生成 元 集 ( 即 包含 一 组 基 ) 的 概率 至 少 是 1 一 2 ". 

证 明 ak +7 个 元 素 不 构成 E 的 一 个 生成 元 集 当 且 仅 当 它 们 
属于 某 个 超 平面 ,而 每 个 超 平面 都 唯一 由 某 个 非 零 的 线性 映射 o: 
E>F, 所 确定 ,确切 地 说 是 该 线性 映射 的 核 ker o . 故 超 平面 有 
(2* 一 1) 个 ,对 固定 的 一 个 超 平面 五 , 它 将 五 分 成 两 个 具有 相同 元 
素 个 数 的 块 ,因此 & + r 个 元 素 完全 落 在 日 上 的 概率 为 2-(*1”， 
故 ktr 个 元 素 不 构成 E 的 一 个 生成 元 集 的 概率 为 

(2£ — 1) - 27 <27, 
等 价 地 说 ,& tr 个 元 素 构 成 EE 的 概率 至 少 是 1- 2 ", 证 毕 . 

由 引 理 10.7 知 , 只 要 有 一 种 选取 Legendre 特征 的 方法 ,使 一 
个 元 素 a CZ 能 够 通过 足够 多 的 Legendre 特征 的 判别 ,就 能 确信 
它 是 一 个 平方 元 .现在 用 Z [0] 来 替换 Z ,创建 类 似 的 方法 来 判别 
一 些 a + 0 的 乘积 是 否 是 平方 元 . 

引 理 10.8 令 S 是 一 些 互 素 的 整数 对 (a,b) 构 成 的 有 限 集 ， 
且 [| (a+b) 是 中 的 平方 元 ,g 是 奇 素数 ,5ER(g) 使 得 


(ao)ES 


(1) 对 任意 (a b)ES,a+ bs#0 (mod q), 
(2) f (s)#0 (mod q). 


那么 TI (=)= 1. 
(ab)ES q 


证 明 $ 
p:Z [0 一 ~ F, 
Gt—> 5s 
是 环 同 态 . 显然 P=ker 9 是 一 次 素 理想 ,由 g Ms 完全 确定 ,定义 
映射 
x8:Z[6]- B— Fi — {+1} 
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9(8) —> g(s) > (42), 


显然 yR 保持 乘法 运算 .由 引 理 6. 3 可 知 ,存在 $€EZ [19] 使 得 
(9)? 了 (e+ 00) = 8. 由 条 件 知 58, 故 在 上 式 两 边 作 用 
(a,b)ES 


Xp, 可 得 
a + bs 
aim q ) <1 
证 毕 . 

我 们 最 感 兴趣 的 是 引 理 10.8 的 着 命题 ,假若 一 个 元 素 PE 
Z[0]- {0} ,满足 除了 有 限 个 一 次 素 理想 外 ,对 所 有 满足 268& 的 
KREE BHA yalh) = 1 那么 8 是 到 中 的 平方 元 的 可 能 性 
有 多 大 ? l 

根据 文献 [5] ,一 定 有 一 个 由 Z [ 0] 的 素 理想 构成 的 有 限 集 X， 
使 得 对 任 一 不 在 X 中 的 一 次 素 理想 弟 ,上 述 的 映射 yq 均 能 诱导 
出 V/K* ->| 土 1| 的 一 个 同 态 映射 

下 面 在 Ok =Z[0] 时 ,具体 解释 这 一 结论 ,此 时 V = Ww. 

令 Cl (Ok) P EKR C(O) FRA 2 阶 元 全 体 , 显然 
CL( Ox)? THE Fy- HEZA, BRERA e, H TtT, 是 其 
一 组 基 ,a; 是 Ok 的 理想 ,那么 存在 ri E Ok 使 得 中 = rO, S 

O = 12,ri… te, f CO)}. 

BX 是 包含 Q 中 某 个 元 素 的 所 有 一 次 素 理想 构成 的 有 限 集 ， 
再 设 e0,e1,… se, p, fe Ok 的 生成 元 集 , 和 定理 10. 2 的 证 明 
过 程 一 样 ,可 以 证 明 存在 群 的 正 合 列 

1 > OF/Ok” > W/K* > C1(Og)[2] >1. 
由 此 可 知 


a woe a 一 b . b, 
[epei er rit re | asb; € {0,1}] 


是 有 限 群 W/K 的 一 个 代表 元 集 . 故 对 任意 不 属于 XX 的 次 素 
BYE BE X 自然 看 做 W/K* 到 | 土 1| 的 同 态 映射 ,yw 便 是 
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V/K* 的 对 偶 空间 中 的 元 素 . 由 Cebotarer 密度 定理 (参见 文献 
[24]) 可 知 , 若 第 跑 遍 Z [9] 的 所 有 不 在 X 中 的 一 次 素 理想 x% 浙 
近 在 hom( V/K*?, | 土 1|) 均 匀 分 布 ,而 由 定理 10. 2 知 dime, 
(hom (V/K *?,{+1}))<log n^og 2. 

概括 引 理 10.7 只 要 轴 取 充 分 多 (至 少 大 于 log n /og 2) ,就 可 
以 有 很 大 的 概率 得 证 | yg} = U WR hom (V/K*?, { 土 1} ) 的 一 
组 基 . 若 8E2Z[0] 对 所 有 yee U,xp(B)=1, 那 么 ,就 可 以 有 很 大 
的 概率 得 证 8 是 Ok 中 的 平方 元 . Adelman 建议 | DT 一 3.log n/ 
log 2 ,这 样 ,我 们 便 有 如 下 的 算法 策略 : 令 
T=TN Tz = {(a,b)|ged(a,b) = 1, 

lal<u,0<b<u,(at bm)N(a + 06) Æ y- JEW 

定义 
B = z(y); 
B = |1(p,r)1p 三 yy, 是 素数 ,r € Rp) l; 
B” =|3log n^og 2]; 
{p1,…, Ppt 是 有 理 筛 法 的 因子 基 , 即 pi BRL py << Sy; 
(Ciri) (pps rp) 是 代数 得 法 的 因子 基 ; 
f(gqi,s1),"…,(gg",sB")| 是 B” $Z [0] 中 一 次 素 理想 的 集合 ， 
y< gaS Sap. f (s;) 4 0(mod g);,1 <i < B’; 
构造 映射 
eT > pit B+B+B 


> (... ee 
(ab) ( ,Eis Jocic BeBe? 


其 中 
0, #atbm>0, 
1, #a+tbm <0; 
ei =v, (a + bm),(mod 2),1<i < B; 
eB+i =e, „(a + b0), 1 SiB; 
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EB+B'+i = 
qi 
若 选 取 使 得 |T| >1+ B+ B+ B’ RA F 上 求 线性 方程 组 
解 的 算法 可 以 获得 一 个 非 空子 集合 SST 14 


5 elab) = 0. 
lab)ES 
这 样 
Tl a + bm 是 Z 中 的 平方 元 ， 
(ab)€ES 
TL a + 59 ”几乎 是 Ok 中 的 平方 元 ， 
(abEes 
即 


FOOT pea +00 ”几乎 是 Z[9] 中 的 平方 元 
求 平方 根 
由 于 知道 a + bm 的 素数 分 解 , 所 以 
f (my I a + bm 


(ap)ES 


的 在 Z 中 的 平方 根 是 容易 获得 的 .而 
r= f(a) I[ a + 49 


(ab)ES 


是 Z[9] 中 的 平方 元 ,要 求 r 的 平方 根 ,首先 将 乘积 展开 , 且 利 用 
f(9)=0, 将 r 写成 关于 9 的 次 数 < 4 的 整 系数 多 项 式 B(0), 然 
后 ,可 利用 代数 数 域 上 多 项 式 的 分 解 算法 ,去 获得 r- rE K(x) 
的 解 .然而 ,由 于 S 的 尺寸 和 B(9) 的 系数 非常 大 , 光 计 算 B(0) 就 
要 花费 很 多 时 间 及 很 大 的 存 贮 空间 ,分 解 z? — > 的 时 间 就 更 多 ， 
为 此 我 们 要 寻找 其 它 方法 . 

假若 q 是 个 奇 素数 , 且 f(x) (mod gq) 是 F, 上 不 可 约 多 项 
式 , 用 附录 中 算法 1.1, 那 么 Z [9]/gZ [0] 实 F[z]Af(x) mod 
q) = Fy. 令 第 = gZ [909] 是 Z[19] 中 的 4 次 素 理想 ,因为 是 f(z) 
(mod gq) 不 可 约 的 ,所 以 FOR Ala 5)=1, 自 然 (a + 00) 
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EB, AK r ZB. 
r (mod g) 事 实 上 就 是 将 > 的 系数 模 g ,看 做 Fy 中 的 元 素 , 利 
用 有 限 域 上 求 平方 根 算法 ,就 能 获得 (mod q) ,使 得 
dsr =1 (mod q), 
事实 上 ,6o 是 > 的 一 个 平方 根 的 着 ,忽略 正 负 号 是 唯一 确定 的 , 利 
用 牛顿 迭代 公式 ,对 7 之 1 计算 
6,103 - oar) 
2 


ò = (mod q”), 


J 


容易 验证 8 满足 6 二 1 (mod q), —E j RAK, iE g? > 的 
确切 平方 根 8 的 重 数 绝对 值 最 大 值 的 2 倍 ,计算 B= dr (mod 
92 ) 便 得 到 在 Z19] 中 的 平方 根 . 

当 d 是 奇数 时 ,Couveignes 用 多 个 模 数 和 中 国 剩余 定理 给 出 
了 一 个 更 好 的 算法 [1. 

值得 注意 的 是 对 特定 f(z ) ,不 一 定 存在 素数 g, 使 f(xz) 
(mod g) 是 F,[xz] 中 不 可 约 多 项 式 ( 如 f(z) = zt+1), 此 时 一 般 
的 方法 是 寻找 新 的 Cr), RER g = 2,3,5,… 去 判别 f(x) 
(mod g) 是 否 不 可 约 , 如 果 这 样 的 g 存在 ,有 多 少 呢 ? 

引 理 10.9 $ F(z)EZ[z] 是 @>T1 次 不 可 约 多 项 式 ,那么 
在 所 有 素数 中 ,满足 f(x) (mod q)E F[z] 没 有 线性 因子 的 素数 
q 所 占 的 比例 之 二 . 

证 明 由 于 4 一般 是 较 小 的 ,因而 这 样 的 ¢ 是 容易 找 的 . 

复杂 度 分 析 

分 析 整 个 数 域 筛 法 的 时 间 复 杂 度 涉及 到 每 个 子 块 的 时 间 复 杂 
度 , 主 要 是 多 项 式 的 选取 、 筛 法 线性 方程 组 的 求解 .代数 平方 根 的 
求解 以 及 一 些 参数 的 选取 .得 法 是 数 域 筛 法 中 最 耗 时 的 部 分 ,其 耗 
时 的 多 少 在 很 大 程度 上 依赖 于 F(z ) 的 选取 ;通过 得 法 过 滤 后 得 
到 的 大 规模 稀疏 方程 组 ( 即 方程 中 出 现 的 变 元 个 数 很 少 ) ,常用 
Lanczos 算法 [25,34 去 求解 . 最 后 求 代数 的 方 根 ,还 有 N. Pguyen 的 
方法 311 被 常用 .具体 的 时 间 复 杂 度 分 析 要 用 一 些 解析 数论 的 结 
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果 , 本 书 省 略 这 点 , 感 兴趣 的 读者 参阅 文献 [5] 
习 题 十 


10.1 用 连 分 式 算法 分 解 9509 和 13561. 
10.2 4 n= 199843247, A HP A E: y = 294 53x- 53, Ñ P= 
(1,1) 和 整数 上 = 16296, FH Lenstra 算法 通过 计算 AP ESM n. 
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第 十 一 章 椭圆 曲线 上 的 离散 对 数 
$11.1 椭圆 曲线 公 钥 密码 


以 下 我 们 通过 椭圆 曲线 公 钥 密码 来 说 明 这 个 概念 及 其 应 用 . 

设 为 定义 在 有 限 域 F 上 的 椭圆 曲线 ,为 简单 起 见 ,以 下 我 
们 假定 442,3 为 一 素数 .在 ECR ) 中 选 一 个 点 P, 称 为 基点 , 记 
P 的 阶 为 n ,通常 要 求 n 是 一 个 大 素数 (其 理由 见 $ 11.2). 每 个 用 
户 选 取 一 个 整数 e(1 委 e< ”) 作 为 其 私 钥 ,而 以 点 D= eP 作为 其 
公 钥 ,这 样 就 形成 一 个 椭圆 曲线 公 铀 密码 系统 (ECC) .定义 下 的 
方程 六 = 27 + ax + b(4a3 + 276?40) , 基 域 F , 基 点 P RE n, 
以 及 每 个 用 户 的 公 钥 都 是 该 系统 的 公开 参数 . 每 个 用 户 的 私 钥 都 
是 保密 的 , 仅 本 人 知道 . 

假设 用 户 A BORE AA SC m (0< m< q) NBR RIES BLA Ñ 
先 要 查 得 B 的 公 钥 Ds ,然后 进行 以 下 的 加 密 运算 ， 

1. 取 随 机 数 EEZ 计算 AP = (zi,y1)( 今 后 将 [k]P 简写 为 
kP); 

2. 计算 kDp= (x2, y2); 

3. 计算 密 文 c= m@@z2( 将 m Max, 用 二 进 制 表示 ,然后 按 位 
模 2 加 ), 将 (c ,zi,y1) 发 送 给 B. 

B 收 到 A 发 来 的 信息 后 ,进行 下 述 的 运算 : 

1. 计算 ep(zi,y1) =(22,92),e3 HB 的 私 钥 ; 

2. 计算 m = < 四 zx ,得 到 明文 m. 

因为 eg (21,91) = ep RP = kDs = (22,90), LYRE BIER 
的 . 

公 钥 密码 的 另 一 个 重要 用 途 是 进行 数字 签名 .在 计算 机 网 络 
通信 中 ,数字 签名 可 用 于 确认 发 信人 的 身份 ;发 现在 传输 过 程 中 ， 
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信息 m 是 否 被 非法 窜改 ;具有 不 可 抵赖 不 可 更 改 性 . 以 下 介绍 基 
于 椭圆 曲线 的 数字 签名 方案 (ECDSA) . 

假设 用 户 A 对 信息 m (为 简单 起 见 ,这 里 不 妨 假设 0< m < 
q ) 作 数字 签名 ,A 随机 选取 kEZ ,计算 kP, S r=2(kP)(RP H 
x 坐标 ) ,计算 s, CER 

sk =mt re, (mod n), 
(ea 是 A 的 私 钥 ), 则 (zx ,r,s) 就 是 签名 后 A 发 出 的 报 文 . 

任 一 用 户 收 到 A 发 出 的 (m ,r,s), 查 得 4 HAA Ds, 计算 
s ‘(mod 2”) ,检验 

r = xz(s (mP + rDa)) 
ERRAZ, 如 果 成 立 , 签 名 得 到 验证 ; 否则 ,不 能 通过 验证 . 由 于 
skP = mP + reaP = mP + rDa 所 以 AP=s IaP+rD4), 上 述 验 
证 显然 是 正确 的 .只 有 A 才 知 道 他 的 私 钥 es ,任何 第 三 者 要 假冒 
A 的 签名 ,或 更 改 经 A 签名 后 的 信息 ,都 是 难于 通过 验证 的 . A 
对 信息 签名 后 ,也 是 不 能 否认 的 . 

BA E 的 点 DD 是 P 的 倍数 , 求 :EZ 使 D = LP, 这 称 为 椭圆 
曲线 的 离散 对 数 问 题 (ECDLP) . ECC 的 安全 性 是 建立 在 离散 对 数 
计算 难度 基础 之 上 ,如 果 离 散 对 数 可 以 计算 ,从 一 个 用 户 的 公 钥 就 
可 得 到 他 的 私 钥 ,ECC 就 不 安全 了 .本章 以 下 内 容 集中 研究 离散 
对 数 的 计算 问题 . 

在 应 用 椭圆 曲线 公 钥 密码 时 ,最 主要 的 计算 量 用 于 计算 AP. 
今 以 F,(p>3 为 素数 ) 上 的 椭圆 曲线 为 例 ,说 明 如 何 计算 RP. HE 
$7.1 的 开头 ,我 们 已 讲 到 ,椭圆 曲线 上 的 点 可 以 用 射影 坐标 (X， 
Y ORDRER c= X/Z,y= Y/Z 表示 ,现在 再 引进 一 个 新 的 
坐标 ( 称 为 Jacobian 坐标 ) , 令 z= X/Z? ,y= 二 了 /23, 它 适合 方程 

Y? = X? + aXZ4 + 07%, 
该 方程 与 $7.1 中 方程 (7.4) 的 齐 次 形式 
Y?Z = X? + aXZ? + 623 
显然 定义 同一 条 曲线 . 以 下 将 会 看 到 ,使 用 不 同 的 坐标 ,计算 椭圆 
曲线 上 两 点 之 和 P+ Q 与 倍 点 2P 的 计算 量 是 不 同 的 .以 S,M ,I 
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分 别 表示 F 中 进行 一 次 平方 运算 ,乘法 运算 和 求 逆 运算 所 需 的 
时 间 . (几乎 对 所 有 的 域 Fp, S 约 为 0.8M ,而 I/M MERER F, 
的 不 同 ,以 及 算法 实现 的 不 同 而 有 所 变化 , 当 |z| >100 比特 时 , 估 
计 JZLM 在 9.5 与 30 之 间 ) 

在 $7.1 中 已 经 给 出 了 仿 射 坐标 下 加 法 的 计算 公式 . 令 P 
(X11);Q@== (Xz2,y2) 及 P+ Q= (z3, y3), %5 PÆQ 时 ,加 法 
RA 


X Il 


a3 = À? — z1- T2, y3 = À (z1 — 23) — y1, 
其 中 4 = (2-1) 22-21). 
4 P=Q 时 , 倍 点 公式 为 
z3 = A? -2z1, y3 = Alay - 23) - yis 
H A= (3z + a)/(2y1). BLE DR F EIS A UA 
算 所 需 计算 量 分 别 为 1+2M+S MI+2M+2S. 
考虑 使 用 射影 坐标 时 所 需 计算 量 , 令 P= (Xi, YZ), Q= 
(X2, Y2,Z2)& P+Q=(X;, Y3,23), 当 P+Q 时 ,容易 推 得 
其 加 法 公式 为 
X3 = vA, Y; = u(w XZ, — A) - v YZ,,23 = v3Z12,, 
其 中 
u=Y2Z;- Yı 2, 
v =X2Z, 一 Xı 23, 
A =u’ ZZ - v3 -20X Z. 
倍 点 公式 为 
X3 = 2hs, Y; = w(4B-h)-8Y?s?, Z3 = 853, 
其 中 
w = aZ? + 3X4, 
s=Y,Z,, 
B=X,Yis, h= w*-8B. 
可 见 在 射影 坐标 之 下 ,加 法 运算 和 倍 点 运算 所 需 计 算 量 分 别 为 
12M+2S 和 7M+5S. 
"n. 


最 后 ,考虑 在 Jacobian 坐标 下 所 需 计 算 量 , 令 P=(X, Y, 
Z1), Q=(X2, ¥2,Z,)R P+ Q=(X3, Y3,Z;),4 PALQH, 
容易 推 得 其 加 法 公式 为 

X; =- HB-2U0H+r, 
Y; =- S,H? + r(U, H? - X3), 


Z3 =Z1Z2H, 
其 中 

U, =X, U= XZ}, 

S1 = YZ}, Sz = YZ, 

H =U,-U,, r= S-S. 
信和 点 公式 为 


X3=T, Y3;=-8Yi+M(S-T), Z; =2Y,Z, 

其 中 
S=4XYi, M =3X7+aZi!, T=-2S+M. 

在 Jacobian 坐标 之 下 ,加 法 运算 和 倍 点 运算 所 需 计算 量 分 别 
为 12M+4S 和 4M+6S. 可 见 利用 Jacobian 坐标 进行 倍 点 运算 
速度 较 快 .还 可 以 有 其 他 一 些 坐标 ,也 可 以 考虑 把 几 种 坐标 混合 使 
用 ,以 求 达到 最 好 的 效果 (参阅 文献 [9]). 

现在 考虑 如 何 计算 kP. 最 一 般 的 算法 ,是 取 的 二 进 制 表示 


ind 
k = 2) kZ kj © 10,1). 依次 做 倍 点 计算 2P,4P,…,24-1P, 然 后 
j=0 


将 对 应 名 =1 BOAREA. BE k (O<J<L— RE wo 个. 则 该 方 
法 需 做 /1 次 售 点 运算 ,w -1 次 加 法 运算 .w 的 平均 值 为 7. 
设 P=(z,y), 则 -P=(zx,-y), 这 是 一 个 可 以 利用 的 简单 


运算 ,将 大 表 为 2 52/5, © |- 1,0,11, 称 它 为 (二 进 制 ) 带 符号 
RR, OS j<1 一 1) 总 共有 31+! 个 可 能 组 合 ,所 表示 的 可 从 
(211 一 1) 增 至 2411 一 1, 可 见 一 个 因 定 的 可 以 有 不 同 的 带 答 
号 表示 ,例如 3= 1+2= -1+4. 为 了 减少 AP 的 计算 量 ,我 们 希望 
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选取 非 零 s 个 数 最 少 的 表示 . 当 一 个 带 符号 表示 任意 两 个 相 邻 的 

s 和 s;+1 中 至 少 有 一 个 为 零 时 , 即 对 任 一 0< j 志 1 一 1 都 有 sjsj+1= 

0 时 , 称 该 表示 为 无 关联 形式 (NAF). 可 以 证 明 !351 任 一 整数 都 有 

唯一 的 NAF, 且 其 长 度 最 多 比 它 的 最 短 带 符号 表示 大 1. NAF 中 

非 零 系 数 的 平均 值 为 !/3. 可 见 利 用 NAF 可 以 减少 kP 的 计算 量 . 
关于 计算 kP 的 其 他 一 些 方法 ,可 参阅 [4] 的 第 四 章 . 


§11.2 小 步 - 大 步 法 


设 已 为 椭圆 曲线 下 上 的 点 ,已 ARA n, BAS DEPP 
生成 的 循环 群 ) , 求 正 整数 / ,使 D= 1P(0<<1<n). 

将 7 表 为 

L= c[Val+d， 0 过 cd < TV ， 
这 里 [Vn RRA FV zx 的 最 小 正 整数 . 令 R = D - 4dP, 存 储 关 
于 Ra(1d<[Yn1) 的 表 , 对 于 c=0,1,…,[Vn1-1, 依 次 计算 
S.= cin 1P.¥# S, 与 Ra 表 中 的 点 比较 , 若 某 个 S. 与 Ra 相同 ， 
则 有 7Z= cofV n]+ do. 

计算 Ra 可 叫做 小 步 ,计算 S. 可 叫做 大 步 ,文献 上 将 这 个 方 
法 称 为 "小 步 - 大 步 " 方 法 . 它 要 求 存 贮 Rs R FERH On) 
E 的 点 .小 步 和 大 步 都 要 求 O(Vz ) 次 E 上 点 的 运算 ,所 以 该 方法 
的 计算 复杂 度 为 O(V x ). 这 是 迄今 为 止 所 知道 的 计算 任意 椭圆 
曲线 的 ECDLP 最 好 的 复杂 度 . 

下 节 将 介绍 Pollard 的 方法 [411, 它 们 也 可 用 于 计算 任意 椭圆 
曲线 的 ECDLP, 计 算 复 杂 度 也 是 O(Vz ) ,但 仅 需 要 很 小 的 存 贮 
量 . 这 里 先 介绍 Pohlig 和 Hellmanl[38] 处 理 ECDLP 的 一 个 方法 , 它 
指出 仅 需 考虑 P 的 阶 为 素数 时 的 ECDLP. 

Ben = [I zp; 为 标准 因子 分 解 ,p; 为 素数 . 若 对 每 个 pi 能 计 
Bl modp;, 则 由 中 国 剩余 定理 就 可 得 到 L.S n= n/p: Si 
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D; = nD = 1(n,P) = IP;, 
P; 的 阶 为 pe, AMET i, 计 算 n= pi 的 ECDLP 就 可 得 到 
l mod p7. 
进一步 , 设 n = pr ARB ,S 
Do = PID = 1(p°'P) = IPo, 
Po 的 阶 为 p ,计算 该 n =p 的 ECDLP 可 得 到 !/ 寺 10 mod p(0X Ip 
<p). Bl=lotl,p, W 
Dı =D- P = (pP) = LP}, 
Pi 的 阶 为 pi., > 
Di = p Di = LPP) = Py, 
Pi 的 阶 为 p ,计算 该 ECDLP 可 得 到 (mod p), 从 而 得 到 1 (mod 
力 ) .重复 使 用 上 述 方法 ,可 依次 得 到 (mod pi)(i=1,2,…,c). 
由 于 存在 Pohlig 和 Hellman 的 方法 ,我 们 在 使 用 椭圆 曲线 公 
钥 密 码 时 ,要 求 选取 基点 P 的 阶 是 一 个 大 素数 ,使 得 O(Vn) 的 
计算 量 不 能 实现 .因而 在 选取 椭圆 曲线 时 ,我 们 要 求 它 的 阶 (其 上 
点 的 个 数 ) 是 一 个 大 素数 或 是 一 个 近似 素数 (一 个 大 素数 与 几 个 小 
RAF CA) ,如 何 构 造 这 样 的 椭圆 曲线 ,是 一 个 深刻 的 数学 问题 . 
由 于 篇 幅 的 限制 ,本 书 不 能 讲解 这 个 问题 . 
本 节 所 讨论 的 方法 适用 于 任意 交换 群 上 的 离散 对 数 的 计算 . 


§11.3 家 袋鼠 和 野 袋 鼠 


袋鼠 的 跳跃 看 似 一 随机 的 游 动 ,实际 上 并 非 如 此 , 它 每 次 跳 既 
的 方向 和 距离 都 由 起 跳 点 的 状态 所 决定 .设想 在 一 块 地 里 ,一 只 家 
袋鼠 带 一 把 铲子 , 它 每 跳 十 步 就 在 所 到 达 的 地 方 挖 一 个 洞 ,并 把 油 
口 伪装 起 来 .之 后 如 果 一 只 野 袋 鼠 进 入 同一 块 地 里 ,只 要 它 一 旦 磁 
到 家 袋鼠 的 足迹 , 则 它 最 多 跳 十 步 就 会 掉 入 一 个 洞 中 . 这 个 家 袋鼠 
还 野 袋鼠 的 方法 ,可 用 于 计算 离散 对 数 . 

设 G 为 n 阶 有 限 交换 群 ,P,DE G 且 D = mpP ,我们 要 计算 
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m. 定义 函数 
f: G 一 人 25 
s 是 一 个 可 以 选择 的 正 整数 .假设 了 是 一 致 分 布 的 , 即 
$ /# l lg E€ GIf(g) = it- Bl= OCT 
A i=1 
M;=aP+6D, a;,6;€Z, i=1,2,",s, 
定义 函数 
F:G—>G 
g => g + Mfo» 
从 go 出 发 ,通过 gi = F (gr -1) 就 可 得 到 一 个 随机 游 动 . 
ERZE RERS RKD ARAN: E G 中 取 两 点 
go = ZoP + x'D, ho = yoP + yoD. 
利用 以 上 通过 下 定义 的 游 动 计算 
Ie = LP + raD, hi = yP tyd, k=1,2,.. 
如 果 能 找到 i, 1 fig, = 疡 , 则 有 ziP+zD=yP+yD, 从 而 (z/ 
~ y¥))D= (9-2) P44 x,- y, 5n BRM, SD m. 实 际 
上 ,在 计算 过 程 中 若 出 现 某 两 个 g 相同 ,或 某 两 个 h 相同 ,也 有 
可 能 得 到 离散 对 数 m. 
粗略 地 估计 一 下 该 方法 所 需要 的 计算 量 ,计算 go, ho 后 ,go 


Eho 的 概率 为 1- 二 ,计算 g1 后 ,91 尖 go,ho 的 概率 为 1- 之, 计 


算 hy JE higo g1, ho 的 概率 为 1- 忆 ,依次 类 推 ,在 计算 go，… 
,9 -1 ,ha -1 后 ,其 中 不 出 现 两 个 相同 的 元 素 的 概率 为 
Ol 
(H 很 大 时 ), 因 而 出 现 两 个 相同 元 素 的 概率 约 为 (2k - 1)/n， 
可 见 所 需 计 算 量 为 Oa). 
为 了 发 现 {g | 与 1 局 } 之 间 的 碰 擅 ,可 将 所 计算 的 gp 和 如 都 


存储 起 来 ,但 这 样 所 需 的 存储 量 较 大 . 为 了 减少 存储 量 , 定 义 G 上 
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的 一 个 函数 

H: GZ, 
当日 (g) 具 有 某 种 性 质 时 , 壁 如 它 的 二 进 制 表 达 式 中 最 底 的 i 位 
都 为 零 时 , 称 g 为 判别 元 .我 们 仅 存 储 g 和 hh 中 的 判别 元 ,寻找 
判别 元 之 间 的 碰撞 ,这 时 存储 量 为 原来 的 1/2i, 但 计算 量 将 平均 
增加 2: 倍 ,在 将 该 方法 用 于 ECDLP 时 ,可 以 取 g 的 z 坐标 作为 五 
(g). 


§11.4 MOVA 4k 


这 是 A. L. Menezes, T. Okamoto 和 S. A. Vanstone 提出 的 一 
个 计算 ECDLP WA! , 设 E/F, 为 椭圆 曲线 ,点 PE ECF,) A 
阶 为 n ,假设 n 与 g 互 素 ( 这 是 应 用 中 最 常见 的 情况 ) ,已 知 DE 
《P) 计 算 1 使 D = IP. 

假设 & 为 最 小 正 整数 ,使 E[n]CE(Fy), 因 而 Fy 中 包含 
次 单位 根 p (定理 7.14). 

引 理 11.1 设 Pi,PzEE[z], 则 eu( 忆 ,Pi)=e(P,P，) 的 
充分 必要 条 件 是 Pi 和 Ps 属于 (PP) 在 EE[n] 中 的 同一 陪 集 . 

WRA 若 Pi 与 P, 属于 (P) 的 同一 陪 集 , 则 存在 正 整数 使 
Pi= P;+kP, 则 

ea(P,P!1) =e,(P,P, + kP) 
=e,(P,P2)e,(P,P)* = e, (P,P,). 
者 Pi 与 P; 属于 不 同 的 陪 集 , 因 Eln] =z, (定理 7.12) ,可 
找到 QEE[n], 使 Q,P 为 E[n] 的 一 组 基 , 因 而 Pi- P,=a,P 
+ a2Q, 且 a.Q40. i b1P+ bQ 为 E[n] 的 任 一 点 , 则 
ea(a2Q,b1P + b,Q) =e, (a2Q,P)*1e2(Q, Q) 22% 
=e, lQ, P)", 
可 见 €,(a2Q,P) #1, 5U KE a2Q=0( 定 理 7.13 的 (3)). 从 而 
en(P,Pi)e,(P,P2)! =e,(P,aiP + a2Q) 
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=e,(P,a2Q) - 1. 
证 毕 . 

定理 11.1 设 PEE[n], 一 定 存 在 QEELnj], 使 
en (P, QA n 次 本 原单 位 根 . 

证 明 《P) 在 Eln] 中 及 个 不 同 的 陪 集 ,对 任 一 QE 
E[n],e,《P,Q) 为 n 次 单位 根 ,由 引 理 11.1, 当 QQ 跑 遍 ? 个 不 同 
的 陪 集 时 ,e, (P,Q) Baia Ira hy n 次 单位 根 ,证 毕 . 

设 a=e,(P,Q)E Fy 为 n 次 本 原单 位 根 , 记 B=e,(D,Q)E 
Fe ATE FF: 中 能 计算 以 a 为 基 B 的 离散 对 数 1, 即 B= a! WY 

ea(D,Q) = e,(P,Q)' = e, (P,Q), 
$ D-IP=sP, Ai 

eal P, QY = e,(sP,Q) = e,(D,Q) :el(P,Q) =1, 
HF e, (P,Q) 为 n RAR MWA, n|s,D=IP. 

上 述 方法 将 椭圆 曲线 上 的 离散 对 数 的 计算 归结 为 有 限 域 Fs 
上 离散 对 数 的 计算 ,这 个 约 化 过 程 包括 以 下 两 个 步 又 : 

1. 找到 最 小 的 正 整 数 , 使 E[n]CE(Fy); 

2. 找到 点 QEE[Lnj, 使 6,(P,QQ) 为 n 次 本 原单 位 根 . (11.1) 

可 以 利用 (7.18) 式 计算 Weil 对 .关于 fr(Ds) 的 计算 ,(7.13) 
式 的 推导 过 程 实际 上 给 出 了 计算 函数 fy të div( fp) = 2(T) - 
n(0) 的 方法 ,但 在 这 里 我 们 并 不 一 定 要 计算 函数 fr, 而 是 要 计算 
它 在 某 些 点 的 值 .假设 要 计算 fr(S), 定 义 (T) x 下 。 上 的 一 个 群 
运算 ， 

(riTai) 四 (rzT,az) = (Cr, + r2)T,a,;a2h(S)), 
其 中 
div(h) = (rT) + (r2T) — (Cri + v2) T) — (ð). 
BW n=agt2a,t+-- +2%,(a;=0,1), A(T DR RRA 
(2T,a;),(4T,a2),°**,(2°T,a,) 
(其 中 a; = f,(S) divf: ~2 (T) — (2'T) - (2i 一 1)(0)), 然 后 计算 
ao(T,1) Da (2T,a1) D @ a, (2'T ,a,) = (0, fr(S)). 
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以 R(n) A LRT RHE PA TOS <an HHA, RB 
SKR(n), 上 述 计 算是 可 行 的 ,车 计算 户 (Ds) ,只 要 找到 整数 k, 
使 (k&+1)S 与 ES 都 不 在 R(n) 中 出 现 , 取 Ds=((k+1)S)- 
(kS)~(S)- (0), 则 fr (Ds) = fr((k+1)S)/fr(kS). 计 算 
fr(S) 的 计算 量 为 O(log n). 

下 面 就 一 类 特殊 的 椭圆 曲线 一 一 超 奇 异 椭圆 曲线 ,讨论 如 何 
利用 MOV 约 化 . 

BF, WEED p, E/F, 的 g Bt Frobenius 变换 的 迹 上 Æ p 
的 倍数 时 ,EE 称 为 超 奇异 的 . 

BUNA lg +1- #ECF,) |< 2Vq E716). RZ, Hl tl< 
2Vg ,是 否 存 在 椭圆 曲线 E/F fe E(F,)=q+1-12? 

定理 11.2 设 g= 加 , 当 且 仅 当 上 适合 下 述 条 件 之 一 时 , 存 
fee A E/F RH E(F,)=qt1-t: 

1. pt, t?<4q; 

2.m 是 奇数 ,下 列 条 件 之 一 成 立 ， 

(a) t=0; 

(b) 27=29, p=2; 

(c) 27=3q,p=3; 

3.m 是 偶数 ,下 列 条 件 之 一 成 立 ， 

(a) £2=4g; 

(b) £=q, p¥#1 (mod 3); 

(c) £=0, p#1 (mod 4). 

WER 见 R. Schoof!45], 

由 定理 11.2 可 知 , 当 且 仅 当 2? =0,q,2q,3q,4q LE WR 
奇异 椭圆 曲线 . 

RK 为 Q 上 的 二 次 虚 域 ,Du 表示 K 中 的 代数 整数 环 ,1, 
为 它 在 Z 上 的 一 组 基 . Ow 中 任 一 形 如 O=Z+ koz (k 为 任 一 正 
整数 ) 的 子 环 , 称 为 序 (order) ,O 的 判别 式 A(O) = A( Ov) k, Pi 
以 O 也 由 它 的 判别 式 唯 一 决定 ,以 O(A) 表 示 判 别 式 为 A 的 序 . 
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定理 11.3 F, 的 特征 为 p, 正 整数 nn 与 pp 互 素 ,EF/F, 上 的 g 
阶 Frobenius 变换 用 的 迹 为 上 , 则 下 述 条 件 等 价 : 

(1) Eln]CE(F,); 

2 

Q) ml(q+1~2),ni(q~1),8€Z & o(a 
Endp (E).Endp (EE) 是 定义 在 F， 上 的 巨 的 同 种 映射 组 成 的 环 ， 

证 明 W Ker($-1)=E(F;),Ker([n])= E[n], %41) 
成 立 的 充分 必要 条 件 为 (定理 7.11 及 后 面 的 注 ) 

Pole End, (E). (11.2) 


n 
# SEZ (11.2) StF nl ($-1). BM q= =#2,2= 94 
$=26, Alli g+1-2=($-1), FLL nl d-1 SOF n? (q+ 
—t).Aq-1=#-1, 8 n| (q-1) BRR. 
HAL Z .这 时 Q ($)CEnds (E)@Q CEnd(E)@@ ,Q (a) 
Æ End, (E)@Q 的 中 心 ,Q (a) 是 二 次 虚 域 , 故 End; (E)®Q = 


Q (a), FFEA End, (E)ÆQ (a) 中 的 一 个 序 .条 件 (11.2) 等 价 于 : 
人 是 End, (已 ) 中 的 代数 整数 . 计算 区- 的 范 数 , 迹 和 


z| AAR: 


af [EE] (EEan) ee 
可 见 条 件 (1) 与 (2) 等 价 ,证 毕 . 
定理 11.4 E(F,)=Z, OZ,» E nolni n2l(g-1). 


证 明 设 m WECP,) PEAK K EVAR. A, BEB 
m 与 9 ER, — ERE F, 的 某 一 扩 域 Fy, 使 E[m]CE(F)， 
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El mJ=Z,,@Zm.E(F,)# Elm | BFR, Be E(F,)=Z,, GZ + 
利用 交换 群 基本 定理 ,可 得 ECF, )=Z, OZ, nln. ROTH E 
[nz2]CE(F,), 故 有 n21g 一 1( 定 理 11.3). 当 与 g FARA, Wl 
有 m=p"m ,m Hq ER, RB p14q. 这 时 E(F,) 守 2Z,@ 
ECF) ECF 各 元 素 的 阶 的 最 小 公 倍 数 即 为 m“, 它 与 g 互 素 ， 
AY ECF) 应 用 上 述 已 证 的 结果 得 到 E(F,) 衬 2Z, OZ, ,因而 
E(F,)=Z,,, OZ, WEH. 

下 面 的 定理 11. 5 给 出 了 当 E/F, 为 超 奇 异 椭圆 曲线 时 
E(F, ) 的 群 结构 . 

定理 11.5 HEZA E/F, 上 的 g M Frobenius 变换 由 的 
È, E/F, 为 超 奇 异 . 

(1) 若 二 =g,2g, 或 3g, 则 ECF ) 为 循环 群 ; 

(2) = 4q,% t=2V gH ECF )=Z- Zr š t= 
-2Y9g 时 ,下 (Fo) 宕 ZI 电 Z7 1; 

(3) 若 z=0,g 半 -1 (mod 4), 则 E(F,) 4 RB; ¥ 1 =0, 
q 三 一 1(mod 4), 则 E (F) AMRA E(F,)S2, +1202. 

证 明 iE t? = ag,a=0,1,2,3,4. 假设 E[m]CE(F,), 
E E[ m)=Z,,02Z,, 3H m 与 g 互 素 ,因而 m?|qt1-—t,m| 
q -1, 由 此 得 到 g=1 (mod m), t=2 (mod m). HH (¢ -2)2= 
ag —4t+4=a—-4 (mod m), ml4-a. 

车 a=3, 由 于 m1|1, 一 定 有 m=1; 若 a=2, 这 时 m|2 且 mx 
与 2 互 素 , 故 只 能 有 m=1; 若 a=1, 这 时 m13, 由 于 g+1+Vg 一 
定 不 是 9 的 倍数 ,所 以 m 关 3, 同 样 只 能 有 m ==1,(1) 成 立 . 

车 a=4, 当 t=2Vg 时 ,$ 适合 z? -2Vg+q=0, 所 以 $=Vg 
EZ . 取 m=Vg 一 1, 这 时 定理 11.3 的 (2) 成 立 , 由 于 #E(F,)= 
q+1-2Wg= (Vg 一 1)2, 所 以 E(F,)=Z,,_,OZ._,. 类 似 地 可 
以 证 明 := ~2V git ECF =Z ez, OZ jc ,1,(2) 成 立 . 

车 a=0, 这 时 m |4,m 可 能 为 1,2,4. 当 g 关 -1 (mod 4) 时 ， 
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由 于 m?|q+1, AM m 只 能 为 1; 当 q=-1 (mod 4) 时 ,由 于 
mjg 一 1, 可 知 m 为 1 或 2, 于 是 (3) 成 立 ,证 毕 . 

设 E/F, 为 超 奇异 椭圆 曲线 ,E(F,)=Z, OZ, nln n 和 
n2 由 定理 11.5 所 决定 .要 完成 (11.1) 中 的 步骤 (1), 实 际 上 就 是 
要 找到 最 小 的 正 整 数 有 ,使 E[n1]CE(FyY), 因 为 n 是 ni 的 因 
子 ,这 时 自然 有 E[n|CE( FY). t?=0,¢,2¢,39,4q 的 不 同情 
况 分 别 讨论 . 当 = 4q 时 ,根据 定理 11.5 的 (2) ,显然 有 =1. 当 
t=g 时 ,ni1=gt+1+Vg, 因 g?-1=(g-1)(g+1+VYg)(g+l 
一 Vgq), 所 以 n1|g3 一 1. E/F 3 ER qg? Bt Frobenius 变换 $3 适合 
方程 zz+2V gx + g3=0( 利 用 (7.21) 式 得 V3= +2V), 因 而 
$= Vg EZ. 由 于 gt+1+2V =q E1) lq +1 Fq), 


可 见 ng +1227 ,所 以 Elm, ]CE( Fs) 2H 11.3(2)), 
可 取 &=3. 利 用 类 似 方法 , 当 刀 =29 IN, ARR k= 4; 24 1? = 39 
时 ,可 取 &=6; 当 刀 =0 时 ,可 取 &=2. 在 上 述 所 有 情况 下 都 有 
E(Ep)=Z,, OZ, ,其 中 c 为 正 整 数 ， 

411.1) 中 的 约 化 步骤 (2) 可 如 下 进行 . 任 取 Q EE(F), 令 
Q=(cni/n)Q(EE[n]). 计 算 a=e,(P,Q),B=e,(D,Q), 在 
Fi 中 计算 离散 对 数 1 使 8= d .车 DD=4P, 则 计算 完成 .否则 ,说 
Wa 不 是 次 本 原单 位 根 , 改 取 另 一 Q’ ,重复 上 述 过 程 ,直到 找 
到 71 使 D= 中 .找到 Q fia 为 次 本 原单 位 根 的 概率 为 $(n)/n 
($ 为 欧 拉 函数 ). 

一 个 概率 型 算法 ,如 果 它 的 计算 时 间 的 期 望 值 以 输入 变量 x 
的 比特 长 度 ( 即 log z) 的 多 项 式 为 上 界 , 则 称 它 为 概率 多 项 式 算 
法 .如 果 该 期 望 值 以 函数 

L(a,x)=exp((c + 0(1)) (log x)*(log log xz)!-*),，0<a<l 
为 上 界 , 称 为 概率 亚 指数 算法 ,这 里 o(1) 表 示 无 穷 小 量 . 

假设 已 有 F, 在 其 素 域 F, 上 的 一 组 基 , 随机 取 FLzj 中 一 
次 不 可 约 多 项 式 f(z), 这 是 一 个 概率 多 项 式 算法 (log g 的 多 项 

- 182 - 


式 ) ,于 是 得 到 FSF [elf (c)). 4 k6 时 ,随机 取 Q E 
E(Fy) 是 一 个 概率 多 项 式 算法 ,由 Q 确定 Q 是 多 项 式 算法 .计算 
Weil 对 是 多 项 式 算法 ,由 于 


n 
— > 
$n) S Slog log n, 2. 之 $ 


UR n= O(g), 通 过 O(log log gq) 次 迭代 可 以 找到 QQ, 使 
en《 了 P,Q) 为 n 次 本 原单 位 根 .检查 D = 1P 是 否 成 立 是 多 项 式 算 
法 .综合 上 述 ,将 超 奇 异 椭圆 曲线 上 的 ECDLP 化 为 Fx: 上 的 DEL 
是 概率 多 项 式 算法 .关于 有 限 域 上 的 离散 对 数 计算 , 当 p HE, p 
说 吕 时 ,已 有 计算 Fs 上 的 离散 对 数 的 概率 亚 指数 算法 ( 见 
$ 11.7). 综 合 上 述 ,对 于 超 奇异 椭圆 曲线 上 的 ECDLP 有 概率 亚 
指数 算法 .我 们 在 构造 椭圆 曲线 公 钥 密 码 时 ,将 不 采用 超 奇 异 椭圆 
曲线 . 


$11.5 FRAK 


Frey, Müller 和 Riickt161 利 用 Tate 对 给 出 一 个 方法 ,在 一 定 
条 件 下 (nl(g 一 1)), 将 Fy 的 曲线 的 除 子 类 群 中 的 离散 对 数 的 计 
算 化 为 F。 中 离散 对 数 的 计算 .由 于 椭圆 曲线 与 除 子 类 群 Pic*( 玉 ) 
是 同 构 的 ,在 本 节 中 ,我 们 将 FR 约 化 应 用 于 椭圆 曲线 [15]. 
首先 ,简单 介绍 群 的 上 同调 . 
设 G 为 有 限 群 , M 为 交换 群 , G 中 元 素 可 作用 在 M 上 .将 
SC G 在 mE€ M 上 的 作用 记 为 mt 一 >mi ,并 假定 它 满足 条 件 : 
m! = m,(m+ m)? = m+m’, (mê) = m*, 
其 中 1 为 G 的 单位 ,这 时 称 M 为 G 模 . 设 M 和 N 为 两 个 G 模 ， 
$:M>N 为 同 态 , 且 适 合 
$m)? = flm), WmEM, SEG, 
F AAG AA. 
定义 11.1 GRM 的 零 阶 上 同调 群 为 
HI(G,M)= {mEM: m=m, VSEGH, 
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BH (G,M)AM 中 由 G 不 变 元 素 组 成 的 子 模 ,有 时 也 记 作 
MS. 

设 

0 — p—+>+m—>n—>0 
是 G 模 正 合 序列 ( 即 序列 中 前 一 G 同 态 的 像 是 后 一 G 同 态 的 
核 ), 可 见 $ 是 单 射 ,y 是 满 射 , 且 $ 的 像 为 y 的 核 .在 每 个 G 模 中 
取 G 不 变量 ,得 到 G 模 正 合 序列 
0 一 > pe Me > NG, 

最 右 端的 G 同 态 就 不 一 定 是 映 上 的 ,为 了 研究 它 的 像 集 , 引 入 下 
REN: 

EX 11.2 设 M 为 G 模 , 令 

C'(G,M) = {£:G—> M} 
为 由 G 到 M 的 所 有 映射 (也 称 1- 链 ) 组 成 的 (加 法 ) 群 , 令 
Z(G,M)= |€€ CG,M): 6&.=+&, Ve,rEGI 
为 由 G 到 M 的 1- 闭 上 链 组 成 的 群 , 令 
BI(G,M)={€€C'(G,M):#& mE Mt & =m>-m,VSE 
G| 为 由 G 到 M 的 1- 上 边 综 组 成 的 群 .显然 BI(G,MJCZLCG， 
M).G 模 M 的 1 阶 上 同调 群 HI(G,M) 定 义 为 
H!(G,M) = Z'(G,M)/B'\(G,M), 

两 个 1- 闭 上 链 之 差 若 为 1- 上 边缘 ,它们 对 应 HI(G,M) 中 同一 上 
同调 类 . 

设 $8:M>N AG 同 态 , 则 $$ 将 Z1(G,M) 中 映射 到 Z(G, 
N), 将 B1(G,M) 映 射 到 B1(G,NN), 所 以 $ 诱 导 映 射 Hi(G,M) 
+>H!(G,N). 

定理 11.6 设 

¢ 


o—> Pp ~M— >N— >0 
是 G 模 正 合 序 列 , 则 有 正 合 序列 
0—> H°(G,P)—>H°(G,M)—> H(G, N) È 
* 184 - 


H!(G,P)— H'(G,M) —> H\(G,N), 
其 中 人 6 定义 为 :对 任 一 nEH(G,N), 取 mEM, 使 Jy(m)= nn， 
定义 1- 闭 上 链 EE Z'(G,P): 
& = m-~m,VdEG, 
6(n) 即 为 在 Hi(G,P) 中 所 属 的 上 同调 类 . 

证 明 A n © NO, (8) = b(m)? -Jy(m)=m-n=0, 
所 以 & E Kerg = IM(g) 估 已 ,可 以 认为 & FP, EEH 
(G,P). 易 见 & 所 在 的 上 同调 类 不 依赖 于 m 的 选择 .证 明 的 其 余 
部 分 虽然 比较 繁琐 ,但 都 是 可 以 根据 定义 直接 推出 的 . 

将 定理 11.6 应 用 于 椭圆 曲线 , 设 E/F E/F, 为 椭圆 曲线 ， 
$ 为 定义 在 F, 上 的 同 种 映射 EE 一 >FE. 取 G= Gal F/F) RN 
有 G 模 正 合 序列 

0 一 ~ E’[$] > E'(F,) > E(F,) — 0, 
ETJEK $ 的 核 .利用 定理 11.6, 得 到 正 合 序列 ， 
0— E’(F,)[$]-—> E’(F,) > E(F,) 


-E H(G, E'T$])— H(G, E(K,)). 
可 见 有 正 合 序列 
0—> E(F,)/$(E’(F,)) > H(G, E'[8]) 
H(G, E (R,)I$]— 0, 
其 中 
dg: E(F,)/$(E’(F,)) —> H\(G,E[$]) 
P= 6+ >Q*-Q, 
RE PEE(F,), QEE(F,),¢(Q)=P. 
设 n 为 正 整数 ,n 与 9 ER SBIR F? Pn WIR, 
得 G 模 正 合 序列 
1 一 ~ p, —> Fi — Fz — 1. 
假设 pC Fo BN n1g -1 利用 定理 11.6 可 得 到 正 合 序列 
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1—* py, —> F? F? Č HG, m) — HUG, F; ) 
由 于 H(G, Fs) =1(Hilbert 定理 90) ,可 得 正 合 序列 
1— FAF)" H(G, p,) 1, 
其 中 
Op: FS AF} Y —> H! (G, pn) 
b => 8> B?/B, 
是 一 个 同 构 , 这 里 PEF, H 86*=6. 
特别 地 , 取 EE =E,$=[xj], 利 用 Weil 对 
é,:E[n] x Eln] —> pn 


定义 Tate X; 
b:E(F,)/n(E(F,)) x ECF [n] — F? A Ft)" 
(P,T) k 5p (e,(dg(P),T)). 
这 里 


e,(On(P),T) € H'(G,p,),e,(d¢(P)(8),T) 
= B°/B(VS EG), 
H B"=b(P,T). 

由 Weil 对 的 双 线 性 ,不 难 推出 5(P, 丁 ) 的 双 线 性 . 可 以 证 明 
6(P, 丁 ) 是 非 退 化 的 [391.6(P, 丁 ) 可 用 以 下 的 方法 计算 .由 于 TE 
E(F,)[n], 可 找到 函数 fr,gr€ FR (E), tË 

div( fr) = n(T) - n(0), freo[n] = gh. 
因而 
e (dn(P)(8),T) =e (R - Q,T) 
= gr(X + Q - Q)/gr(X), 
RX=Q,HT gr€ Fs(E), 故 得 
gr(@)/gr(Q) = gr(Q) /gr(Q), 
所 以 当 PAT it, 
b(P,T) = gr(Q)" = fr [nxn](Q) = fr(P)(modFe "). 
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4 P=TM, ER P1EE(F,) 使 P+ Pl， Pi&KR(n)( 定 义 见 
§ 11.4), 利 用 6 的 双 线性 得 到 
b(T,T) = fr(T+ Py) + fr(P1) "(mod Fy"). 
当 nl1g 一 1 时 ,有 间 构 映射 ; 
y: FU AF)" —»z, 
a a tt 
将 5 与 7 复合 ,得 到 Tate-Lichtenbaum X}: 
Dn:E(F,)/n(E(F,)) x ECF,)[n] — p, 
(P, T) > (WP, TF. 

注 1 方 的 选取 可 以 相差 一 个 常数 因子 ,但 由 于 广 .[z]= 
她 , 故 该 常数 因子 属于 FS" BIZE mod F?” 的 意义 下 , fr 是 唯一 
的 . 

注 2 对 于 Weil 对 ,一 定 有 e, (T, T) = 1. 但 对 于 Tate 
Lichtenbaumxt ,®,, ( 了 , 工 ) 不 一 定 是 1, 它 将 在 离散 对 数 的 计算 中 
发 挥 重要 作用 . 

设 TEE(F)[n],PE<TS,n 为 素数 ,n | 9g 一 1. 利 用 
Tate-Lichtenbaum 对 可 将 E 上 的 离散 对 数 计 算 化 为 F} 上 的 离散 
对 数 计算 .计算 a=@,(T,T),8=g@,(T,p). 若 a 为 n 次 本 原单 
位 根 ,在 Fi 上 计算 离散 对 数 m ,使 B= a” ,就 可 得 到 P= mT. 由 


F n 为 素数 ,a Hn 次 本 原单 位 根 ( 即 “天 1) 的 概率 为 1- 
在 利用 MOV 约 化 时 ,首先 要 求 找到 大 ,使 E[n]C ECE), 

然后 将 E 上 的 离散 对 数 的 计算 化 为 下 ot 上 离散 对 数 的 计算 .在 使 

用 FR 约 化 时 , 仅 要 求 zlg=-1 ,并 不 要 求 E[n ]JCE(F,), 所 以 FR 

约 化 可 以 在 E[n ] 玉 E(F,) 的 情况 下 使 用 . 由 于 n| #E(F,)= 

q+1~-t, ĦA c=2 (mod n), 上 AF, Fa 阶 Frobenius 变换 的 迹 . 
当 为 素数 ,ng,n1g 一 1 时， 条 件 El nICE (Fs) SF 

条 件 n1(g -1) 参 见 [2] ,这 时 使 用 MOV 约 化 和 使 用 FR 约 化 要 
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求 的 条 件 是 相同 的 . 
$11.6 SSSA 约 化 


在 FR ALA MOV 约 化 中 ,循环 群 ( 已 ) 同 构 能 人 F,( 或 其 扩 
域 F; ) 的 乘法 群 中 ,从 而 将 (4P) 上 离散 对 数 的 计算 化 为 F。 (或 
F3) 上 离散 对 数 的 计算 . 本 节 介 绍 Smart-Semaev-Satoh- 
Arakil43,46,49] 提 出 的 计算 ECDLP WATE, ERR CP) RA 
Fj CF, 的 加 法 群 ), 从 而 将 (PP) 上 离散 对 数 的 计算 化 为 Fi 上 离 
散 对 数 的 计算 . 

设 q= p”,p 并 2,3 为 素数 ,E/F, HB yaa tarth E 
义 ,PEE(F,) 的 阶 为 p. 这 类 曲线 称 为 异常 (anomalous) 椭 圆 曲 
线 , 当 q= p 时 ,异常 曲线 上 的 p Bt Frobenius 变换 的 迹 上 = 1. 

任 一 点 Q= (zxe,ya)EE(F,), 当 品 不 是 2 阶 点 和 无 穷 远 点 
时 ,Q HAMAS tg =z- zrg% Q= (ze,0) 为 2 阶 点 时 ,to= 
y; 当 Q=0 时 ,to = x/y. 

引 理 11.2 设 fEF(E),div(f)= pD,D 不 是 主 除 子 . 令 
f =df/dx,®} div(f )= div(f) — div(y). 

证 明 当 品 不 是 主 除 子 时 ,了 不 恒 为 零 . 设 D= no(Q), 则 
f= ta? fis ordo (f1) =0. 当 QQ 不 是 2 阶 点 和 无 穷 远 点 时 ， 
df /dr = df /dtg = tg°df ;/dtg, Aili ordg( f’) = png + mo, 其 中 
me = ordg(dfi/dig)20.4 Q X 2 阶 点 时 ， 

df/dx = df/dy + dy/dx = "0((3x? + a)/2y)dfı/dy, 
由 于 ordo (3x? +a)/2y)= — 1,1 ordo( f ) = pno -1+ mo, 其 
中 mg = ordg(df;/dy)=> 0; 当 Q=0 时 ， 
df/dx =df/d(x/y) + d(a/y)/dx 
=(2/y)e((- 23 + ax + 2b) /2y*) + dfı/d(x/y) 
HF ord((- x? + ax + 26) 2y>) = 3, ordg(f’) = png + 3+ 
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mo, P mg = ordg(dfi/d(x/y)) 20. RITA 
div(y) = (S1) + (S2) + (S3) - 3(0), 
其 中 S1, S2, S3 HE EZA 2 BA, KK div( Sf) =div( f) — div(y) + 
Di, 其 中 Dy = mo(Q), 可 见 Di 是 主 除 子 ,所 有 的 mo BAF, 
证 毕 . 
取 一 固定 点 RE(P),RAQ.XHE— QE《P), 存 在 函数 /0E 
Fu(EE), 使 div(fa)=p(Q) 一 p(0). 定 义 映射 


®:(P)—> F} 
Q > (fa/fa)(R), (Q #8) 
0 0 


` 定理 11.7 @(Q) 的 定义 是 有 意义 的 , 理 是 ( 卫 ) 到 FE 的 同 构 
RA. 

证 明 从 引 理 11.2 得 到 div( fQ/fg) = -div(y), R RÆ2 
阶 点 和 无 穷 远 点 ,所 以 B(Q) 是 FP 中 的 非 零 元 , 仅 需 证 名 是 同 态 
映射 . 

设 除 子 了 与 D=(Q) - (9) 线 性 等 价 , 则 存在 函数 g, 使 
div(g)= D- D’, 4% div(f) = pD, BH fg= fg? Bit f/f= 
falfa TEX B(Q) 时 可 以 任 取 一 个 与 D 线性 等 价 的 除 子 代替 
D. 设 Qi E(P}, D; = (Q;) ~ (0), div( fg) = pD;, i =1,2.4 
Dg +a, 7 Pit D2= (Qi) + (Q2) —2(0)~(Qi + Qo) - (0), RK 


B fo, +a, E div fg 9) = PDQ, +a, = div fa, * fa,)> fara F 
fa, 仅 差 一 个 常数 因子 , 故 


FQ,+0,/fa,+a, 一 fa, fa, t fa, fa, 
下 是 同 态 映 射 ,证 毕 . 
考虑 如 何 计算 @(Q). 取 2 阶 点 S ,存在 函数 fo, fi 
div( fa) = P(Q + S) - p(S) ~ p(Q) ~ p(d). 
由 上 述 可 知 OQ) = (fa/fa) (R). E(P) x F} 上 定义 一 个 运算 
(Q1,41) BD (Q2,a2) = (Qi + Q2,aı + az + (h’/h)(R)), 
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其 中 函数 h 适合 
div(h) =(Qi + S) + (Q2 + S) - (Qi + Q2 + S) - (S) 
= {(Q, + S)+(Q2+ S)+(- Qı- Q+ S)-3(S)} 
- (Q1 + Q2 + S)+(- Qı- Q+ S)-2(S)} 
= div(Ag,,a,) — div( Ia +a,)° 
函数 Ma ,a,(X+S) 和 a, ro, X+ S) ABE z, y 的 线性 函数 ,前 
者 是 通过 Qi, Q- (Qi + Qs) 的 直线 ,后 者 是 通过 Qi + Q, 
一 《Qi+ Q;) 的 直线 .我 们 有 
h’/h = aa o,a, 一 7a +a, 7a, +0," 
等 式 右 端 的 二 项 可 用 下 述 方法 计算 , 设 
6(X) = Ax + By + C(A,B,C € F,) 
是 上 述 提 及 的 直线 , 令 94(X)=S(X- S), 我 们 欲 计算 81/61, 易 见 
& = A + Bdy/dz = A+B(3x:+ A)/y 
及 d6=2W'dx /2y, 通 过 直接 计算 可 以 发 现 dr 2y(X-S)=dx/ 
2y( 实 际 上 ,dx /2y 在 任 一 平移 变换 下 不 变 , 见 文献 [47] 中 第 三 章 
命题 5.1) ,所 以 
do(X-S) =(2y 8’)(X - S)(dx2y)(X ~ S) 
=(2y 8’ )(X —S)-+- dry, 
故 
(64 7 6)(X) =dd(X - S)/dz .SGX-S)-1 
= (2y ð (X - S)2yd(X - S). 
当 以 和 = 尺 代 人 时 ,R- S 不 是 2 阶 点 和 无 穷 远 点 ,上 式 右 端 为 
Fy 中 的 非 零 元 . 
设 p=agt2ajt + 2'a,(a;=0,1),M(Q,0) HR, RIT 
算 (2Q,ai),…,(2:Q,a,), 然 后 计算 
ao( Q,0) Bai(2Q ,41) BB a, (2'Q,a,) 
=(0,(fo/fa)(R)). 
可 见 @(Q) 的 计算 量 为 O(log p). 
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(11.3) 


车 Q€E(P),Q=/1P, RH (Q) =10(P) NB 
L=0(Q) O(P). 

实际 上 ,为 了 通过 (11.3) 式 计算 @(Q) ,可 取 E 上 任 一 不 在 
《PP 中 的 点 代替 S. 但 由 于 2 阶 点 $= (a,0),a 适合 方程 z3 + az 
+8=0, 所 以 Fola) RBA F, 的 三 次 扩张 ,选用 2 阶 点 时 上 述 所 
有 计算 可 以 在 已 ?中 完成 . 

文献 [50] 给 出 了 异常 曲线 上 DLP 的 另 一 种 算法 , 它 可 以 保证 
所 有 的 计算 在 F, 中 完成 . 取 R=0, 对 任 一 QE(P),QX40, RA 
数 QEF (E), tE 

div( fg) = p(Q + P) - p(P). (11.4) 
定义 映射 
W:(P)—> F} 


Q (0),Q 49, 
0 0 
其 中 z=z/y 为 9 的 单 值 化 子 (注意 ,这 里 用 dfo/dt RË dfa” 
dz), fo 在 0 处 有 展开 式 
ie + ait + O(t?),Q#- P, 
fa = t’ (bo + byt + O(2?)),Q =-P 
由 (11.4) 式 ,可 知 ap 40, 6940, BM 
ai/a0;Q 天 一 P, 
PQ) = ere =- Pp. 
类 似 于 定理 11.7, 可 以 证 明生 是 (P) 到 F 的 同 态 ,由 引 理 11.2， 
ords(dfp/dt ) =ordy (dfp/dx) - ordg(dt/dr) ` 
= ord, ( fp) 一 ordy (y) 一 ordy (dt /dz ) 
= ord, (fp) #0 
(这 里 利用 了 orda (y) = -ordy (dt /dx) =3), TL W(P)40,¥ 
是 (P) 到 Fs 的 同 构 嵌 人 .也 可 以 得 到 与 计算 @(Q) 类 似 的 计算 
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+ (2) 


V(Q) HARE. 
§11.7 有 限 域 上 离散 对 数 的 计算 


MOV 约 化 和 FR 约 化 ,将 计算 F, 上 的 椭圆 曲线 离散 对 数 化 
为 计算 有 限 域 乘法 群 F% 上 的 离散 对 数 , 这 里 我 们 约定 p2, 3 为 
一 个 素数 .本 节 介绍 计算 Fx 上 的 离散 对 数 的 指标 计算 法 (index 
calculus method) ,并 证 明 它 是 一 个 亚 指数 算法 . 

首先 介绍 一 般 的 n 阶 循环 群 G 上 的 指标 计算 法 . 设 go HG 
的 生成 元 , p1，,…, Pm AG Pm 个 元 素 . 算 法 的 第 一 步 是 设法 找 
到 足够 多 的 关系 式 : 


Th 6 = g, (11.5) 
由 此 得 到 一 组 线性 同 余 式 
Za jind,p; = b;(mod n) (11.6) 


假定 从 这 组 同 余 式 可 以 解 得 indgp; IS jm), AAKRE 
解 这 组 同 余 式 . 设 a AG 中 任 一 元 素 ,算法 的 第 三 步 是 计算 ind, 
4. 设 法 找到 一 个 正 整数 e ,使 得 


m 

6j 一 e 
T ø = ag, 
j=1 


由 此 可 得 到 ind, a = = X) ind,p, - e. 算法 的 前 二 步 是 预 运 算 . 当 


要 计算 某 一 元 素 的 离散 对 数 时 ， 仅 需 要 进行 第 三 步 .第 三 步 所 需要 
的 时 间 比 前 两 步 要 少 得 多 . 

对 于 一 般 的 群 G ,指标 计算 法 并 不 一 定 是 可 行 的 ,因为 并 不 
一 定 能 找到 足够 多 的 关系 式 (11.5). 该 方法 在 PA LETIH, $ 
节 将 介绍 Fi% 上 的 指标 计算 法 ,估计 它 需要 做 多 少 次 Fy 上 的 运 
算 , 证 明 它 是 一 个 亚 指数 算法 . 

首先 考虑 =1 的 情况 , 即 F; 上 的 指标 算法 . 设 pi, pote, 
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Pn(< PAB m FBR. 算法 的 第 一 步 是 寻找 关系 式 
(11.5) ,随机 取 整 数 FE [1,p 一 1], 计 算 最 小 的 正 整 数 x, 使 r= 
g’(mod p), XE g 是 模 p 的 原 根 .用 pisi, Pm 依次 试 除 + ,如果 
r 是 这 m 个 素数 的 乘积 , 则 找到 一 个 我 们 所 要 的 关系 式 . 这 时 ,我 
们 称 ~ 是 一 个 光滑 数 ,或 称 > 是 p,, -光滑 的 .找到 一 个 光滑 数 就 找 
到 一 个 关系 式 (11. 5). 
显然 ,m 越 大 ,r 为 光滑 数 的 机 会 就 越 大 ,在 算法 的 第 一 步 找 
出 足够 的 光滑 数 所 需 的 计算 量 就 会 减少 .但 在 算法 的 第 二 步 ,求解 
关于 indah; 的 线性 方程 组 的 计算 量 就 会 增加 ,证 明 > 是 光滑 数 的 
计算 量 也 会 增加 . 因此 需要 选取 适当 的 mx ,优化 所 需 的 总 的 计算 
量 . 
设 z,y 为 正 整数 , 令 
g(x,y) =t1a€Z ll<a<z,a 的 所 有 素 因子 不 超过 yj. 
则 随机 取 2 ,使 相应 的 > 为 光滑 数 的 概率 为 
PCP, Pm)/P. 
由 文献 [6] 的 结果 ,我 们 有 
P(X,Y) = x exp((- 1+ 0(1))plog x), 
HF p= log x/og y,p>OR y>log zr. 4 
L(p) = exp(V log p log log p). 
取 PaL), AE < 为 一 常数 ,由 素数 定理 可 见 
M ~ Pm /log Pm = L( pet, 
log pg 加 =c Vlog pog log p. 
因而 
PCP, Pm)/p =exp((-1+o() - c! log pAlog log p 
(2 log log p ~ 2“ log (log log p) — log c)) 
=L (pyro | 


所 以 平均 随机 选取 L(p)'? OOA b AT BI. 5) 
KKK, KE 2m 个 关系 式 , 需 选 取 
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2mL (pyre? 一 Lp) aero) 


4 b W. 4 b 值 选 定 后 ,最 多 做 m + log p 次 试 除 ,可 以 确定 相应 
的 > 是 否 是 光滑 数 ( 若 = TT of HH TT a: <logr < log p). 所 以 


指标 计算 法 第 一 步 的 计算 量 为 L (py evox F, 中 的 运算 . 

我 们 假定 得 到 2m 个 (11.5) 中 的 关系 式 后 ,通过 求解 线性 同 
余 方程 组 (11.6) ,可 以 得 到 indup;(1<; 生 六) ,这 假定 看 来 是 合理 
的 ,但 不 可 能 严格 证 明 . 在 求解 线性 同 余 方 程 组 时 ,需要 利用 中 国 
剩余 定理 将 模 p -1 的 方程 组 化 为 模 p -1 RAT g 的 方程 组 . 利 
用 高 斯 消去 法 求解 素 域 FE, 上 m 阶 线性 方程 组 的 计算 量 为 
O(m?) EIA F, 上 的 解 后 ,可 以 进一步 得 到 模 素数 寡 %( 这 里 
gq.11p 一 1) 的 解 (参阅 定理 2. 16 的 证 明 ,将 类 似 方法 应 用 于 线性 
同 余 方程 组 ,这 方法 称 为 Hensel 方法 ,参见 附录 § A.4). 所 以 指标 
计算 法 的 第 二 步 所 需 计算 量 为 O(L(p)* 中). 

aK; ,在 算法 的 第 三 步 计算 inda, ERER e, fë r= 
ag (mod p) 为 光滑 数 .利用 上 述 第 一 步 中 所 作 的 分 析 , 可知 第 三 
EWA O(L(p) tO), 

若 取 c=1/2, 由 上 述 分 析 , 可 见 F* 上 指标 计算 法 的 计算 量 
为 

O(L( py?) , 
4 p 一 co 时 , 它 是 一 个 亚 指数 算法 . 

现在 考虑 FF 上 的 指标 计算 法 .我 们 将 证 明 当 p HE, Roo 
时 该 算法 是 一 个 亚 指数 算法 . (参阅 文献 [20]. ) 

设 g 为 F$ 的 生成 元 , 则 g = gL Fx 的 生成 元 . 候 
定 已 知 FZ 中 任 一 元 素 以 g 为 基 的 对 数 ,例如 ,这 可 由 上 述 F? 上 
的 指标 计算 法 得 到 .我 们 把 F, 中 的 元 素 称 为 纯 量 元 . F# 中 任 一 元 
素 都 可 唯一 地 用 下, 上 的 一 个 次 数 小 于 的 多 项 式 表示 , 设 m <b 
为 正 整 数 (其 数值 将 在 下 面 确定 ) ,以 S, 表示 FF, 上 的 所 有 次 数 大 
于 零 且 不 超过 me 的 首 1 不 可 约 多 项 式 的 集合 ,P(m ) 表 示 Sp 中 
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多 项 式 的 个 数 .在 指标 计算 法 中 ,这 组 多 项 式 将 具有 上 述 F, 的 情 
况 下 ,最 初 的 m 个 素数 p1,…,p 同样 的 作用 . 

定义 11.3 FF, 上 的 一 个 多 项 式 , 若 能 分 解 为 一 个 纯 量 元 和 车 
干 个 次 数 不 超 过 m 的 首 工 不 可 约 多 项 式 之 乘积 , 则 称 该 多 项 式 
(相对 mr) 是 光滑 的 .办 中 的 一 个 元 素 若 可 用 光滑 多 项 式 表示 , 则 

下 # 上 指标 计算 法 的 第 一 步 是 要 找到 FF% 中 足够 多 的 光滑 元 . 
设 

a =g =cR 

是 一 个 光滑 元 ,R 是 F, 上 的 一 个 首 1 多 项 式 ,现在 我 们 把 R 也 理 
解 为 一 个 P(xm) 维 向 量 ,其 分 量 为 R 的 因子 分 解 式 中 对 应 S,, 中 
每 个 不 可 约 因 子 的 指数 , 纯 量 。 的 对 数 , 当 p 较 小 时 ,可 用 列表 法 
给 出 , 当 p 很 大 时 ,如 上 所 述 ,可 用 F* 上 的 指标 计算 法 得 到 . 


引 理 11.3 Fy Piast wae (PO tH) A 
其 中 “= (41), 


证 明 在 S, 中 任 取 w 个 或 少 于 v 个 不 可 约 多 项 式 ,它们 的 
乘积 的 次 数 不 超 过 w+ m<< 1, 因而 对 应 玉 * 中 的 一 个 光滑 元 . 
如 果 我 们 在 集合 S, 中 添加 一 个 元 素 “1”, 则 我 们 在 S, U {1| 中 任 
Ku 个 元 素 (可 以 重复 取 同 一 元 素 ) ,每 次 都 得 到 一 个 不 同 的 光滑 
元 ,如 此 取 法 的 个 数 为 函数 

F(x) = A- x) POM 
RF x 的 展开 式 中 zx* 项 的 系数 , 即 为 


J ° Efa) z=0 
= (Pl) + WP Cm) +2) (P(n) + u) = (Pom) + “), 


引 理 11.4 l m21, Pm) Kp, 
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证 明 “后 一 不 等 式 是 显然 的 ,因为 m KER pp”. 
以 I(i) 表 示 i 次 首 1 不 可 约 多 项 式 的 个 数 , 则 
P(m) = $10) > Tm) 
Berlekamp 在 文献 [3] 中 证 明了 
I(m) >a - py, 
所 以 当 m4 it", 
#”/1 
| Im) >E} 
即 证 明了 引 理 中 的 前 一 个 不 等 式 . 还 需 考 虑 m =1,2,3 的 情况 , 利 
用 公式 
I(m) = mona) er 
( 见 文献 [31] 定 理 3.25) 得 
3 
1(D) = p,1(2) = $e? - 9) > #103) = 二 (5-p) 之 如. 
引 理 证 毕 . 
从 算法 第 一 步 得 到 一 组 光滑 元 R;,(1 志 i 二 1) ,如何 保证 能 在 
第 二 步 从 线性 同 余 方 程 组 (11.6) 解 出 ind f( FE 5m), 这 是 一 个 较 
困难 的 问题 ,为 此 我 们 引入 下 述 定义 . 
定义 11.4 随机 生成 的 和 拓 量 组 | R,}1 志 i 志 I 称 为 事实 上 的 
支架 集合 ,如 果 再 按 同样 的 随机 方式 生成 任 一 矢量 R,R 可 表 为 
|Ri| 的 ( 整 系数 ) 组 合 的 概率 大 于 1/2. 
令 1=k'In p, 这 里 In p 是 以 2 为 底 的 对 数 ,/ 是 表示 Fx 中 每 
一 元 素 所 须 的 比特 长 度 . 令 


m =| gy ge: In (2a) | (11.7) 
在 以 下 定理 11.9 的 证 明 中 ,将 说 明 这 样 的 m, UEA 
时 得 到 最 优 的 上 界 . 
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P + m 
& ri=4P(m), r= 2ry/e SEH e= (m) “) yp ,e 是 


任 取 整数 5 E 为 光滑 元 的 概率 的 下 界 . 随机 选取 最 多 niob, 
要 求 从 诸 g PRHE r 个 光滑 元 ,设置 I 的 初始 值 为 零 ,假设 已 经 
找到 了 光滑 元 {R;} ISi< 1) NER 5 ,计算 go = cR,AR 
是 光滑 元 ,但 不 能 表 为 jRi Ai HAS BAGS) , 则 将 
R 添加 进 {Ri} ,并 将 了 增加 1. 要求 在 选取 rn 个 5 后 ,能 得 到 一 个 
事实 上 的 支架 集 ,将 计算 结果 结束 时 的 了 记 为 [i 

定理 11.8 当 /一 co 时 ,集合 |Rij (Isi 委 Ts) 不 是 事实 上 
的 支架 集 的 概率 趋 于 零 . 

证 明 我 们 的 算法 失败 ,可 能 有 两 种 情况 ， 

(1) 在 次 尝试 中 没有 可 能 找到 xj 个 光滑 元 . 

(2) 从 ry 个 光滑 元 中 产生 的 1R;| AS SI md BEBE EM 
支架 集合 ， 

现在 分 别 估 计 这 两 个 事件 出 现 的 概率 的 上 界 Pl 和 Po. 

假定 每 次 试验 的 成 功 概率 为 6, 在 N, 次 独立 试验 中 ,成 功 的 
次 数 少 于 Ni 的 概率 已 适合 


PS 


(这 称 为 Chebyshev 不 等 式 ). 

考虑 Pi WEF, AER bE 9% 为 光滑 元 的 概率 至 少 为 e. 利用 
(11.8), 取 3=e,Ni=r,N = 得 到 

l-e bze 1 
Pi < ROUA < Pny 

考虑 P, 的 上 界 , 我 们 把 一 个 新 向 量 添加 进 原 有 的 |R,| 理解 
为 一 次 成 功 的 试验 ,所 以 每 次 试验 成 功 概率 是 不 同 的 , 它 依赖 于 原 
有 的 |R;} ,但 当 { Ri|, (1 志 i 志 7) 不 是 事实 上 的 支架 集 时 ,每 次 
试验 的 成 功 概率 至 少 为 1 人 2. 每 个 R, 是 P(m ) 维 向 量 ,所 以 成 功 
试验 的 次 数 一 定 少 于 P(m), 取 8=1/2,Ni=P(m), N,=vi, 由 
(11.8) 得 


ôl- ò 


No(N,/N3)? (11.8) 
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P< PGD 
由 (11.7) 式 及 引 理 11.4, 4 /一 co 时 ,可 知 P; + P20, WEHE. 
定理 11.9 Bm 由 (11.7) 给 定 ,o 为 任 一 正 数 ,构造 {R,|， 
1SiSI mm, BE 
O(exp{(1 + o) V121 - In(2k)}) 
次 FF: 中 的 运算 ,其 中 =k- p. 

证 明 算法 的 第 一 步 , 任 取 x; 个 5;, 然 后 判断 它 是 否 是 光滑 
元 .计算 六 的 计算 量 为 n b; 阶 ,这 部 分 计算 量 可 以 忽略 不 记 . 判 
断 PERI, BS, 中 多 项 式 逐 个 试 除 ,而 由 于 of Ae 
复 因子 ,增加 的 试 除 次 数 不 超 过 有 ,所 以 总 的 试 除 次 数 不 超 过 
P(m) + 上 ,算法 第 一 步 的 计算 量 为 O(rs[P(m)+&]). 

在 算法 的 第 二 步 , 每 得 到 一 个 新 的 光滑 元 g= cR ,都 要 用 高 
斯 法 检查 R 是 否 可 以 是 已 有 | R;| 的 线性 组 合 , R; 的 维 数 为 
P(m), 所 以 第 二 步 的 计算 量 为 O(ri[P(m)]3). 因 此 构造 1R;|， 
I< WER BMH 

O(r2[P(m) + k]) + O(r,[P(m)]). (11.9) > 

估计 上 式 中 两 个 量 的 上 界 ,由 引 理 11.4 11.7) m 的 

选取 ,可 知 Pm) Ek, FALL 
O(rz[P(m) + BI) = O(PCm)? pt Geel 
P(m) + uD? 


利用 Stirling A,n! ~ Pan (2 ) (2 一 oo) ,上 式 右 端 可 化 为 


2 。 u"P( m)? ™® 
0 Pm p Pom) + gr] 
— . u” 
=0(P(m)?ph Boa): 
再 利用 引 理 11.4 R(k/m) -1u<k/m, ERG HME 


2m+k 
m k/m k/m 


0| Fai = O(p?"(2k)*/™) 
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= O (exp 3m ln p+ 4 in(2k)} ). 


(11.10) 


4 m =p y UAT E)N, ESS BLE ME, HF m 为 束 
数 , 故 取 m 为 (11.7) 式 右 端 给 定 的 值 . 

对 任 一 8>0, 当 m 足够 大 时 有 

1 i STAD 
GETIT (1⁄3)L*ln (2k)Sm< p (1/3) 2+ln (2k), 
将 上 式 代入 (11.10) 式 ,得 到 (11.9) 式 中 第 一 项 的 上 界 


/37. 1 (9B) (+6)kln p In(2k) 
31 + In Qk) + A ROH) ) 


=O(exp{(1 + 6) M127 - In(2k)|). 
(11.9) 式 中 第 二 项 的 上 界 可 以 类 似 地 得 到 
O(biP(m)) =O(P(m)4) = O(p4") 
= O(exp{4 / (1/3)1 < In(2k)}), 


O (exp 


定理 证 毕 . 

由 定理 11.9 可 见 , 当 p 固定 ,& 一 co 时 , 下: 上 的 指标 计算 法 
是 一 个 亚 指数 算法 ,从 定理 11.9 的 证 明 也 可 知道 ,寻找 光滑 元 的 
计算 量 大 于 求解 线性 方程 组 的 计算 量 . 

在 基于 离散 对 数 的 公 钥 密码 方案 的 设计 中 ,最 常用 的 基 群 是 
Zp .以 上 已 经 介绍 了 2Z; 的 指标 计算 法 ,然而 数 域 得 法 是 目 前 求 Z2 
上 离散 对 数 的 最 快 算法 . 在 用 数 域 第 法 分 解 大 数 的 思想 启发 下 ， 
1992 Æ Gordon EAT RZ 上 离散 对 数 的 数 域 筛 法 , 且 
估计 算法 的 时 间 复 杂 度 为 L,[1/3,312];1993 4 Schirokaur lay 
进 了 Gordon 的 方法 ,使 期 望 时 间 复 杂 度 达到 

Ls[1/3,(64/9)13]. 

我 们 已 经 知道 ,利用 $11.2 和 $11.3 的 方法 计算 Z; 上 离散 
对 数 的 时 间 复 杂 度 为 O(Vg), 其 中 g 是 p 一 1 中 的 最 大 素 因 子 . 为 
保障 最 大 的 安全 强度 ,实际 应 用 中 4 一 般 取 和 p 相当 的 素数 , 即 
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p-l=rq.r 是 一 个 很 小 的 数 , 此 时 求 2 ， 上 离散 对 数 = log,v, 
AAR x1 夺 x (mod r) 和 22=x (mod 9), 然 后 用 中 国 剩余 定理 
RE x = log, v. 下 面 我 们 介绍 用 数 域 筛 法 求 
a = log, v (mod q). 
数 域 筛 法 的 目的 是 求 整数 *,z, 且 gcd (t,q) = 1,18 uv 为 
2 中 的 9 UAE, BI 


那么 
a =- st! (mod q). 

因此 ,我 们 的 思路 是 构造 Zs 中 的 一 个 9 KIR, PHBA MR u 
Al 的 次 寡 之 乘积 .和 大 数 分 解 的 数 域 得 法 一 样 ,首先 构造 一 个 环 
ZLa] 中 的 q 次 寡 , 然 后 通过 某 个 到 Z， 的 环 同 态 , 得 到 Z。 中 的 一 
个 9 次 宕 .具体 地 ,选择 一 个 首 一 的 整 系数 不 可 约 多 项 式 FLz), 和 
一 个 自然 数 m = 2 和 ,使 得 f(m)=0 (mod p), H. q 不 整除 4 (了 /). 
S a 是 f(z) 的 一 个 根 , 数 域 K=Q(a), 因 为 g 在 K 不 分 层 , 故 


qOr = Pp E, 
4 e,=N(®;) —1,e, =lm, |e;|i=1,…,g|, 那 么 对 任意 we 
Or ,有 
w =1 (mod q), 
这 样 可 定义 映射 
={w E Ox | g¥N(w)} 一 ~ ae 
w c w 一 1(mod Ok) 


可 验证 》 ERER SAE CWRS. 
51% 11.5 $ U Žž Ok HEER, 
U’ = |ņ € U | }=1 (modg?0x)}, 
假设 UCU, EK 的 类 数 hk 不 被 g 整除 . 若 OCT 满足 
(Lordy (w)=0 (mod g) ,对 Ok 中 所 有 的 素 理想 8 ; 
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(2)A(w) =0. 

则 w 是 Ok Pq KAR. 

证 明 ”由 条 件 (1) 可 知 ,存在 理想 I 使 得 (w)= ,又 由 于 ga 
不 整除 hk , 故 工 也 是 主 理想 , 设 为 (9) ,那么 存在 uE U, 使 得 w= 
òu .而 1(zw)=0 意 味 着 o =0 (mod q?), 故 1 二 we = (8 uk =u" 
(mod 9) ,所 以 zxE USI， 即 u 是 一 个 g KAR, w 也 是 Ok 中 
q KIR. 

注意 假设 K 是 随机 选取 的 一 个 代数 数 域 ,那么 K 满足 引 
理 11.5 的 条 件 的 概率 是 很 大 的 ,详情 可 见 文献 [44]. 在 以 下 讨论 “ 
中 ,不 妨 设 K 满足 引 理 11.5 的 条 件 . 

取 Ok 的 一 组 整 基 | a ,… ,a, | ,w 一 1 能 够 写成 gq(aiai+ 
tanan a EZ ,定义 同 态 映射 

à l — Z 
wi a;(mod q) 

BL A(w) =0 当 且 仅 当 Ai(w)=0,1=1,.…,n. 

第 法 是 构造 集合 S={(a,6)| lal<s,1<b<t,gcd(a,b)= 
.1,(a+bm)N(a + ba),B 一 光滑 | ,使 得 | S| 宇 So| +|Sk|+n— 
1, 同 大 数 分 解数 域 筛 法 一 样 ， 令 g(a, yl Hat my, f = 


S-E) Fe Se RL RTS HEL. 


下 面 我 们 描述 数 域 得 法 的 大 致 步 又: 
(1) 选 取 m, f(z) 同上 ,定义 环 同 态 
$:Zla]— Z, 
g(a) => g(m) . 
然后 选择 合适 的 一 个 界 B, 构 造 有 理 因 子 基 FQ = | p 素数 PES 
B) ,代数 因子 基 FK = [PCZ [a]|8 是 一 次 素 理想 , N(P)<B}. 
(2) 筛 法 是 构造 集合 S={(a,b)llal< s, 1S b<t, ged 
(a,b)=1,(a+bm)N(a + ba)B -光滑 } , HA] S] S9] + | Sxl 
+ 一 1, 同 大 数 分 解数 域 第 法 一 样 , 令 g(x,y) = 2+ my, f= 
- 201， 


> 人 -Z ) Om fe TRENERE NRN. 
WHT (a, b)ES, . 


latbm|= TI pe?” 
PE SG 


lat bal= I ef), 
Pes, 


(DHE d = |Sol + |Sk|+n-1 维 Z, 上 的 向 量 
v(a,b) = (ep(a,b)modq,eg(a,b)mod qs 


A;(a + ba )mod I) ses, RESI? 
v(u) =(e,(u)mod Teg = 0, 


Aj =0 
7 5 RES A<IKn’ 


v(v) = (ez = h,e, = 0,e9(a) = 0,mod q, 


à; (a )mod Dorp pe s PESI" 
v(z) 构 成 一 组 基 
{vl(a,b) | (a,b) E S’'SS}U {v(u)}, 
然后 将 这 d 个 向 量 作为 列 向 量 构成 可 道 矩 阵 A Z, 上 的 线性 方 
程 组 
AX 一 一 vv)’, 
求 得 解 (z(a,p);z(z)) peg ARAM SIE 11.5 可 知 


a [| (a+ ba)? 
(a,b)ES 


是 Z[a] 中 的 q KARE, 


zlu) xla 
a2" TT (a t+ bm)** (mod p) 
(a, b)ES 


是 Z, 中 的 g RR. M 
u7 2h TI (a + bm)” 
(a, b)ES 


m [| (a+ bm) (mod p), 
(a,b)ES 


ui wo 
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故 
log, (v) = z(u) (mod q). 
Adlelman[ 将 数 域 得法 类 比 到 函数 域 中 ,提出 函数 域 筛 法 来 
求 下 名 上 的 离散 对 数 , 只 要 p 不 是 很 大 ， 函数 域 筛 法 的 期 望 时 间 
复杂 度 
Ln[1/3,c],c >0 
是 一 个 常数 , 且 当 p 取 2 时 ,该 算法 恰 是 Coppersmith 算法 00]. 
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第 十 二 章 ” 超 椭圆 曲线 
$12.1 RAHA Jacobian 


为 了 简化 ,假设 域 F 的 特征 了 关 2( 特 征 为 2 的 情况 见 文献 

[22]). 假 设 定义 在 下 上 的 多 项 式 
fla) = 1t + aja’? + + anges 

没有 重 根 .方程 

y = f(z) (12.1) 
在 仿 射 平面 上 定义 一 条 曲线 ,该 曲线 上 各 点 都 是 非 奇 异 的 .将 方程 
(12.1) 化 为 齐 次 方程 

Y2Z20-1 = XH + a XYZ + + aga, 

可 见 上 述 曲线 在 射影 平面 上 完备 化 后 ,增加 唯一 的 点 9= (0,1,0) 
称 为 无 穷 远 点 , 当 g >1 时 , 它 是 一 个 奇异 点 .我 们 称 射影 曲线 

€= {(a,B) la, EF, p= fla)! U 1(0,1,0)} 

为 亏 格 9 的 超 椭圆 曲线 . 当 g=1 时 , 它 就 是 椭圆 曲线 .多 上 除 2 之 
外 的 点 都 称 为 有 限 点 . 

设 点 Q=(a,B)E%, 则 Q@=(a, 一 B)E% 称 为 Q 的 反 点 . 当 
B 关 0 时 ,Q 关 Q@, 这 时 F(a) 夭 0, 取 z- wu 为 Q 点 的 单 值 化 子 (z 
-a FQ 点 有 一 阶 零 点 ). 当 B=0 时 ,Q=Q, 这 时 f(a)=0, 取 y 
AQ 的 单 值 化 子 , 易 见 ordo (x 一 a)=2. 

设 p(z,y)EF[z,y], 由 于 = 了 (xz), 作 为 《上 的 函数 
pla, y)WRA P(z,y)=al(x)-b(x)y, HP a(x), d(x) E 
下 [z]. 考 虑 p(x,y) 在 多 的 点 Q 的 阶 . 

GQ) Q=(a,BP) ABBA. p=(a- a) (ag(z) - 
bo (x) y) (2 一 a) 不 能 同时 整除 ay (x) M bo (x). aola) - 
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bola) G0, Wl 加 
ron QQ, 

ordaP = (n, Q=. 

Æ ag(a)— by(a)B =0, 则 Di 
rotr, QÆQ, 

ordgP = g +1, Q=Q. 


其 中 >>0, 适 合 

ag(x) — 00(z)y = Didilx - a). 
r 可 利用 

(x -ay || ag(x)? - box)? f(z) (12.2) 
决定 .由 于 by (a) A0(F bo (a) = 0, ay (a) =0, RAT BB), Be 
bo (x) 40, RTA 


ao(zx) 1 € V 7 
(S055 - ila) d(x ~ a)') -f(z) =0, 


因而 
ao(x)? ~ bolt)? f(x) =2ao(z) >)di(z - a)! 


一 (Xa: 一 a)i)’, 

若 (z-a)kfao(z), 可 见 (12.2) 式 成 立 ; 若 (z-a)lao(z), 由 于 (z 
~a) bola), TICE- a)? | f(z), 但 f(z) 没 有 重 根 ,这 不 可 能 . 

当 Q=Q 时 ,8=0, 这 时 ao(a) =0,b9(a) 40. A y BQH 
单 值 化 子 , 可 见 ordo(ao(z)- bp(x) y) =1, H(z ~a) || ao(x)? 
-bola f GEE- a) || f(x)). 

(2) 若 Q=0. HF y sret 的 低 次 项 ,可 取 ordo (x) = 
~2,ord9(y)= -2g 一 1, 所 以 

ordg p =— max(2deg a(x),2g+1+ 2deg b(x)). 
由 上 的 点 Q; 组 成 的 有 限 形 式 和 = >) mQ;(m; EZ) 称 
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为 名 的 一 个 除 子 ,所 有 除 子 组 成 加 法 群 9. 除 子 D 的 次 数 deg D= 
mi;, 所 有 次 数 为 零 的 除 子 组 成 9 的 一 个 子 群 贸 , 当 p(z,y) 在 %% 
上 不 恒 为 零 时 ,定义 函数 p(x,y)€F[zx,y] 对 应 的 除 子 div(p) 
= Dorda (p), 由 代数 曲线 的 一 般 理论 , 可知 div (p) E P. i 
plz, y) qlr WAC LAA BRR, 4 p,q 不 在 多 上 恒 为 零 时 ， 
A div( p/q) = div( p) 一 div(q).% 上 任 一 有 理 函 数 对 应 的 除 子 称 
为 主 除 子 , 由 主 除 子 生成 P 的 子 群 记 为 P . FHP? 称 为 超 椭 贺 
曲线 多 上 的 Jacobian. RF Di, DEP, 5 Di- D,E PH, id D; 
一 DD;, 称 Di 与 D: 线性 等 价 . 

BH Q=(a,f)E¢, 4% BAO HY, RITA div(x-a)=Q+Q- 
20, PA- Q~Q-20;% B=0 Mt, RNA div(z - a) =2Q- 
20, Hf 2Q~20.% D= E mQ; HO 中 任 一 除 子 ,利用 上 述 性 
质 , 可 知 DD EG —“*ME GND m,Q; - (Xm; )0 的 除 子 线性 等 价 ， 
它 具 有 下 述 性 质 : 每 个 系数 mi >0, 当 Q; 在 和 式 中 出 现时 , Q;( 尖 
Q) 一 定 不 在 和 式 中 出 现 , 当 Qi = Q; 时 , Q; 的 系数 为 1. 具有 这 种 
性 质 的 除 子 称 为 半 既 约 的 .在 一 个 半 既 约 的 除 子 中 , 若 卫 mm Sg, 
则 称 它 为 既 约 除 子 .利用 Riemann-Roch 定理 ,一 定 存在 一 个 函数 
fA D+- 9 OB (D+ 9 0)S>g- 9 +1=1), FLAP h 
任 一 除 子 一 定 与 一 个 既 约 除 子 线性 等 价 , 也 可 以 证 明 这 样 的 既 约 
除 子 是 唯一 的 . ( 见 参 考 文 献 [23]. ) 

超 椭 圆 曲 线 的 Jacobian 是 一 个 加 法 群 . 我 们 给 Jacobian 中 每 
个 元 素 一 个 恰当 的 表达 式 , 并 找 出 它 的 加 法 的 运算 法 则 . 

设 D= miQ; - (Em) P 中 一 个 半 既 约 除 子 , Q = 
(mi,B). 令 a(z)= 了 T(z 一 a)”,b(z)EF[zx] 适 合 下 述 条 件 : 
bla)=B(Vi),a(z) || blr)? - f(r)((12.2) 式 ), deg 6 (x )< 
deg a(x), XEN) b(zz) 是 唯一 确定 的 . 易 见 除 子 D 线性 等 价 于 
gcd(div(a (xz)),div(5b(z) 一 y))( 不 考虑 9 的 部 分 ). 为 了 简单 起 
见 ,今后 我 们 表 D = div(a ,5). 例 如 , 若 Q= (a,p), 划 Q-0= 
div(x -a,p),2Q -2 0 =div((x-a)}, (f la)lz-a) + 2f7)/ 
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28). HHR“ deg a(z) 委 9 时 ,div(a ,5) 为 既 约 除 子 . 

i div(a,b) =div(a,,6,) +div(a,p2), 如 何 计算 a,b? 设 
d =gcd(ai,a2,6, + b2)( 多 项 式 的 最 大 公 因 子 ), 存 在 s(x), 
s2(X),s3(X)EF[zj, 使 

sia; + s2a2 + s3(b1 + bo) = d, 
则 
a =aia2/d? 
b =(siaib2 + s2a2b1 + s3(bib2 + f))/d (mod a), 
(12.3) 

可 以 直接 验证 上 述 计 算 公式 是 正确 的 [7] ,该 计算 方法 实际 上 是 通 
过 ( 虚 ) 二 次 代数 函数 域 下 (z,y) 中 类 群 的 加 法 得 来 的 ,为 了 更 好 
地 理解 这 个 算法 ,我 们 将 在 下 节 讨 论 到 (= ,y) 的 类 群 的 加 法 . 

考虑 两 个 特殊 的 情况 : 

(1) 当 ai 与 a, ER, N d=1, 可 取 s3=0, 这 时 4a = ala2, 
b= siaib2 + s2a2b1(mod a). 

(2) 当 a1= a2,b1= 62( 即 计算 一 个 除 子 的 2 倍 ) 时 ,可 取 s, = 
0. 

上 述 计算 得 到 的 div(a， 6) 不 一 定 是 既 约 的 ,一 般 地 , 任 一 半 
既 约 的 除 子 表达 式 可 利用 下 述 方法 化 为 既 约 的 表达 式 . 取 

a’ =(f-b)/a, 
b’ =- b (mod)a ,deg b’ < deg a’. 

我 们 将 在 下 节 证 明 div(a’,b’)~div(a ,0). 设 dega=m,deg b= 
n<m, 则 deg a'=max (2g +1,2n) — m. # m>g+1, 则 deg a’ 
<2(m - 1) — m= m -2;# m=9 +1, J] deg a’ =2g+1-(g+ 
1)=g. 4 div(a ,0) 不 是 既 约 形式 时 ,可 以 重复 利用 上 述 方法 ,得 
到 一 个 与 它 线性 等 价 的 既 约 除 子 . 这 实际 上 是 Guas 计算 二 次 型 
既 约 形式 的 方法 . 关于 计算 既 约 形式 的 改进 算法 可 见 [7,49] 


(12.4) 


$12.2 虚 二 次 代数 函数 域 


方程 (12.1) 定 义 的 超 椭圆 曲线 多 的 函数 域 FC) = F(z,y) 
是 有 理 函 数 域 F(x) 的 二 次 扩 域 . 容易 验证 ,F(%) 中 的 任 一 代数 
RR a tby, EH a,b EFi]. U R 表示 F(%) 中 所 
有 代数 整 函数 组 成 的 环 . F[z] 中 所 有 素 理想 形 如 (z - c)(aE 
F), CAVE R 中 都 分 解 为 两 个 素 理 想 P, W ZER 与 WY 
H). P= f(a), 2-4 fla) AO, (2 — @ SMBH Ela, 
y- PAB =(a-a,y+ p) ZR, 5 f(a) =0 R}, (2 一 a) 分 解 为 
(z-a,y’. WH? LWARAS R 中 的 素 理想 一 一 对 应 . 进 一 
DP 中 的 除 子 ( 仅 考 虑 有 限 点 部 分 ) 与 R 的 分 式 理想 一 一 对 应 ， 
且 两 个 除 子 之 和 对 应 的 理想 为 它们 各 自 对 应 的 理想 之 积 , 主 除 子 
对 应 主 理想 ,所 以 乡 的 Jacobian 与 R 的 类 群 同 构 . 当 D= 5 mQ; 
-272i)0 为 半 既 约 除 子 时 , 对 应 R 的 一 个 理想 JT (x - a, y- 
B)" oR Q; = (a;, Bi). 

BRA R 的 一 个 整理 想 . 今 

M ={m(x) € Fla] | m(x) ERİ, 

N ={n(x) € Flz] 1 dm € Flr], {E m + ny ERI, 
M FIN 都 是 FLz] 中 的 主 理想 , 设 M= (w),N= (vw), 则 存在 r+ 
oye R, E 


R= (usr + vy). 
由 于 uyER, WM vlu, CHF y(r+ vy) =f + rye RK vl rie 
u=av,r= bv, FÆ 
R = vl(a,b + y) ~ (a,b + y), 

(~ RANE OP) ,可 以 认为 deg 5< deg a. Ab + y)(b- 
y)= 6? — fERN Flr] Kalb? - fib- fa, HF f KE 
因子 ,可 见 gcd (a,b,c) =1. (XH § 12.1 中 除 子 的 半 既 约 形式 . ) 

BR; = (a;,b; + y) deg b;<deg a;,6?- f=axe;(i=1,2).# 
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R,M.~(a,b+y), deg b<deg a, b? - f=ac, Mit a Mb. ic 
gcd(a;,a7,6, +b.) =d WFE 51, 52,53€ Flax), {Ë d= sya, + 
s2a2 + 53(by + b2). i ay =a1d,a2= ahd, bı + bz= hd, Mi 
51a t s242+ szh=1. AF bib: + f= bib: + b? — aici = b; (6, + 
b2) - aci, TIL dl bibat f. RITA 
RR, = (a1a2,4a;(b2 + y) az(bı + y), bib2 + f+ (bi + b2)y). 
显然 
Siai(b2 + y) + syao(by + y) + s3(bib2 + f+ (bi + b2)y) 
=d(b + y) E RR 
其 中 
b =(s1a1b2 + s2a2b1 + s3(bib2 + f))/d 

=s1a1b2 + s24a2b1 + s3(bib2 + f)/d, 
所 以 
RR = (a1a2,a1(b2 + y),a2(b1 + y), 

biba + f + (b1+ 6b2)y,d(b + y)) 
=d(aiasdsailb = b),a%(b b), PRHE - h,o + y). 
由 于 
b2 — b =b(1 - si1a1) -52a201 ~ s3(bibz + f)/d 

= b2(s2a9 + s3h) — s2a2b1 — sa( boh — ascs) 

=a2(b259 — s2b1 + s3c2), 
可 见 ahlo- 6, M albb. 


biba + bib2 + / , 
bbt hb =e L sai + S2Q2 + 53h) 


+ 2 + 
一 h (siab + S2đa2b1 + $3 ihti) 


=- aa2(syc2 + s2c1), 
现在 来 证 明 aran ER Rd. 由 于 daia ERR /d, 
(b1 ~ b2)a1a2 =aa2(by — b) ~ a4a3(b, ~ b) € RNR/d, 
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，， bitb, 
cajan = - sa2(b1 + y) 


, +b 
a(S 2 Je Ri /d, 


BK gcd (d,c1,b, — b2)'aqa2 ER M/d. LORE, ged(d,cy,b1- 
6.) =1, 否 则 ,车 有 不 可 约 多 项 式 p(x )|gcd (d, c1, b1 62), 
play, ple, plot 52,pP161 一 52, 可 得 p16b1, 但 ged (ai, bi, 
c1) =1, 这 不 可 能 .所 以 我 们 证 明了 a1a2€ RR/d. 
最 后 得 到 
RR, ~ la, b+ y), 
其 中 ac=aia2. 可 以 设 deg b< deg a .我 们 得 到 了 R 中 两 个 理想 
类 合成 的 算法 ,也 就 是 说 $12.1 中 给 出 的 多 上 的 Jacobian 中 两 个 
点 相 加 的 算法 . 
设 a ,5 为 $12.1 中 (12.4) 式 所 给 ,由 于 
(a,b+ y)~(a(b-y),b?- y?)~(c, -b+ty)=(a,b +y) 
所 以 diva ,b) =div(a’,b’). 


$12.3 ”基于 超 椭圆 曲线 的 公 钥 密码 


WC AA PRR Fy EAD y = F(z) 定 义 的 超 椭圆 曲线 .类 
似 基于 椭圆 曲线 的 公 钥 密码 ,我 们 可 以 建立 基于 乡 的 Jacobian 
JCF) EMS. (实际 上 ,椭圆 曲线 即 是 亏 格 g = 1 的 超 椭圆 
曲线 ,椭圆 曲线 的 点 生成 的 群 是 与 它 的 Jacobian 同 构 的 . ) 

选取 一 个 除 子 DET(F,), BR D 的 阶 是 一 个 大 素数 . 每 个 
FAP aA k HED’ = kD 作为 该 用 户 的 公 钥 .由 于 D = 
div(a’, 6’), BUX a ,2 的 系数 即 可 作为 公 钥 使 用 . 利用 下 述 方 
法 ,可 以 在 J(F,) 中 随机 选取 一 个 基点 D. REER m<zg, BaH 
选取 aC Fp fla) H Fm 中 的 平方 元 (此 情况 发 生 的 概率 为 
50% ) 时 ,计算 f(a) 的 平方 根 86, 则 Q= (a, p) ELX 
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D= >, -mo 


aE Gal F m/F,) 

为 J(F,) 中 的 除 子 .在 计算 D = kD 时 ,需要 用 到 $ 12.1 的 算法 . 

已 知 D1,D,€(F,), 且 D1€E 《D2), 计 算 m, 使 Di~ mD, 
这 就 是 超 椭圆 曲线 上 的 高 散 对 数 问题 (HECDLP). 基于 超 椭 圆 曲 
线 的 公 钥 密码 的 安全 性 是 建立 在 计算 HECDLP 的 复杂 度 之 上 .在 
第 十 一 章 介绍 的 小 步 - 大 步 法 和 袋鼠 法 等 一 般 的 计算 DLP 的 方 
法 ,显然 也 适用 于 HECDLP. FR 约 化 和 SSSA 约 化 也 可 推广 到 
HECDLP'*), 45 # g 45 F, 的 特征 相 比较 大 时 , Adelman, De 
Marrais 和 Huang 猜想 有 一 个 计算 HECDLP 的 亚 指数 算法 ,这 是 
一 个 很 有 趣 的 理论 结果 ,他 们 的 方法 利用 了 大 整数 因子 分 解 的 数 
域 第 法 的 思想 . 

目前 ,基于 超 椭 贺 曲 线 的 公 钥 密 码 的 应 用 还 没有 提 上 日 程 . 


* 211: 


附录 一些 常用 算法 
8$A.1 不 可 约 多 项 式 的 判别 


假设 大 家 已 经 熟知 有 限 域 F 的 基本 理论 和 多 项 式 环 Fu[z] 
上 的 一 些 基 本 算法 (类 似 于 Z 上 的 算法 ) ,如 欧 几 里 得 算法 、 最 大 公 
因子 算法 . 勒 让 得 符号 算法 等 .在 构造 FE, 上 的 m UP IKK lt FE 
要 寻找 F,[z] 中 一 个 首 一 m 次 不 可 约 多 项 式 ,目前 ,一 般 有 两 种 
算法 ,一 种 是 确定 性 (构造 性 ) 的 算法 ,在 技术 上 比较 复杂 ,而 第 二 
种 概率 性 算法 常 被 采用 , 即 对 随机 给 出 一 个 m 次 首 一 多 项 式 , 判 
别 其 是 否 是 不 可 约 多 项 式 ,重复 此 过 程 一 直到 给 出 肯定 性 判断 为 
止 ,这 便 涉 及 到 算法 成 功 的 可 能 性 有 多 大 . 

设 An N Fle PR m 次 首 一 不 可 约 多 项 式 的 个 数 ,已 知 

An,g = mr, 

BA, Anaig" m>, T g” 为 mm 次 首 一 多 项 式 的 总 数 . 故 
当 m 充分 大 时 ,随机 选择 一 个 m 次 首 一 多 项 式 是 不 可 约 多 项 式 
的 概率 大 致 为 二 

算法 1.1 不 可 约 多 项 式 的 判别 


输入 :f(z)EF [zl,p,r 使 g=p” 
输出 :Yes 或 No 

1.d<-degf(z) 

2.u(x)<x 


3.For i from 1 to LS ea 
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3.1 for j from 1 to i 执行 
u(c)<-u(x)?mod f(x) 
jay tt 
3.2 plx)«ged(u(r)- 2x, f(x)) 
3.3 ifp(x)¥1 then 返回 “No” and stop 
4. 返回 “Yes” 
该 算法 的 正确 性 是 由 于 车 f(z ) 可 约 , 当 且 仅 当 存 在 一 个 次 


数 为 ;<| Seg LS) | 的 不 可 约 多 项 式 g(z) 作 为 其 因子 ,而 此 时 
gcd (x? —a,f(xr))¥1. 


$A.2 有 限 域 中 平方 根 的 求解 


对 Fj (9 是 奇数 ) 中 的 一 个 元 素 ,判别 其 是 否 是 平方 元 素 ,有 
类 似 于 Zs 中 的 勒 让 德 (Lengdre) 符 号 算法 , 称 作 多 项 式 Lengdre 
符号 算法 ,可 参见 文献 [8]. 当知 道 a € Fs 是 平方 元 时 ,如 何 来 求 
a 的 平方 根 呢 ? 

Wq-1=2°-2,¢ 是 奇数 ,对 G= 下 2* , 它 有 如 下 的 子 群 链 ， 

H=GEGE“CO CEG,=06, 
其 中 H ERNA: MOTH; A G;/G;_1| =2, 事 实 上 ,车 选 a 是 Fs 
的 本 原 元 :有 H=《a?), 那 么 G = (a*“),0<i<<s. 因 为 对 G 中 任 
意 非 平方 元 Bp, BC G./G,-1, 11,8), -中 是 GAH 的 一 个 
陪 集 代表 元 系 .因此 ,G 中 任意 一 个 元 素 a 一 定 有 唯一 的 表示 
a=pB*.r, 0 之 e 夺 2:-1， rEH. 
R a 的 平方 根 , 只 需 分 别 求 6: 和 > 的 平方 根 . 


B 的 选择 有 立成 功 概率 . 故 求 a 的 上 述 表示 ,归结 为 求 。 即 
R e 的 二 进 制 表示 e = eg + De, t +2 1e_1( e;€10,1}) 的 各 
个 分 位 , 记 住 {1,B | 是 G;/G;_1 的 一 个 陪 集 . 
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因为 a 是 平方 元 , 且 ap °C H.R ep =0,a8 "EG, -1, R 
0, ap "EC _，,， 
“1 11， 若 apragG, 


因为 |1, 1 是 全 过 的 一 个 陪 集 , 故 ap") E G,-2, 按 上 述 时 


想 一 直 递 妇 下 去 ,假设 知道 eo + el2 十 … 上 十 e_12 t, 1<i<s -1, 
满足 


i-t 
ap tTa? E Gris 
那么 


ei; 一 


0, # ap OP DEG aan 
LAAI, BE G,_;/G, (541) RISE 
ap “ore? E Gaan. 
M i=s-1hf,e=egt +e -12l H h=aB t EGF 
H.T h EARME, BA h? Æ h 的 平方 根 , 故 


e 2? t+1 
po tea? h2 


是 a 的 平方 根 . 综 上 所 述 , 有 如 下 算法 : 
算法 1.2 RF, 中 平方 根 


输入 :下 ,gq ERRAN RE, a EF, 中 的 平方 元 
输出 :Va 
1. 随机 选取 BE F} 
2. 车 8 是 平方 根 元 goto 1 
3. 分 解 gq 一 1=2.'z,t 是 奇数 
4.e<0 
5.for i=1 to s 一 1 执行 
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s-(i+1) . 
5.1 if (ap™e) ‘1, then e~e +2' 


e (+1) 
6.h<-aB “,b<B2h 2 
7. 返回 2 


$ A.3 有 限 域 上 的 分 解 


设 g= pr,p 素数 ,g(xz)E€ F[z] 是 一 个 待 分 解 的 多 项 式 ， 
g (x )FEXt g(xz) 的 求 导 .事实 上 ,车 g(xz)=0, 那 么 g(z) 是 某 个 
多 项 式 的 p KRECIE 1) Æ g(x) 40, IBA g(x) /gcd(g’ (x), 
9(z)) 无 平方 因子 (习题 2). 因 而 有 

算法 1.3 ”Squarefree(g(z)) 


输入 :9g(z) 
输出 : [oaei)| 29; 无 平方 因子 , 且 g= I; gf 
1.4 g (2) =0,28 h g= hz 
[Chi e1),°**, (hye, ) }<-Squarefree(h ) 
返回 | (Pa pei), Chs pe,)} 
2.d~-gcd(g,g’) 
3. 若 d=1, 返 回 |(g 1)} 
4. 返 回 {Squarefree(d),Squarefree(g/q)|} 
因此 我 们 可 以 假设 g(xz) 无 平方 因子 , 且 9(0)40, ABB, 
用 下 面 算 法 可 以 将 g(xz) 分 解 成 
g(x) = TT h(x) 
其 中 h(xz) 是 g(xz) 的 所 有 次 不 可 约 因子 的 乘积 ， 
算法 1.4 


输入 :9g(z) 首 一 无 平方 因子 多 项 式 , 且 g(0) 尖 0 
输出 :h,(x),(1Si<deg (g)), 使 得 h(x) 是 g(x) 的 所 有 i 
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次 不 可 约 因子 的 乘积 
1.( 初 始 )P<10 委 : 委 deg (g)), hf, i*-1 
2. hseged (hx? !-1),h—h/h; 
若 h=1, 算 法 终止 ,否则 ,goto 3 
3.i<i+1 
# 2i<deg (h), goto 2 ,否则 h gny h REKI. 
下 面 对 gxin ERRE, BP g(x) =f, (x) f(z), 
7 之 2, fi BANVABWA, (FAS GAs), deg f; = deg ff=d,B 
此 deg g(x) =d'r, A PHRMA HA 


_ ~ Flzl @...@ Ez] 
R = FlalAg(z)) = Gae (f(x)) 


以 后 可 将 R 中 的 元 素 ec 用 坐标 (a1,…, ar) 表示 ,其 中 aa 
(mod f))(1<i<r) Hf R BEF, -线性 空间 , 令 B= {a€ Ra 
=a] Æ R 的 一 个 子 空间 ,我 们 可 以 用 a 的 坐标 来 刻画 B 中 的 元 
R. 

定理 A.1 a=(al,…,a,)EB 当 且 仅 当 uiE 忆 ,1 委 ; 委 7 

证 了 明 因为 oo = (al, a1), 4 a, € 下, 则 显然 af =a, 即 
aE€B. 反 之 , 若 at=a, Pha af = ana ETAR ah a; 在 子 
域 中 ,证 毕 ， 

EX t HR —>R (aat) H) Frobenius 线性 映射 ,由 上 述 


定理 可 知 B= ker (+ -1), 用 解 F, 上 的 线性 方程 组 的 算法 就 可 获 
得 B 的 一 组 基 el,…,e ,那么 B 中 任 一 个 元 素 均 有 形式 


a= > aisa; E Fy, 
H a 是 RR PAA BG AY a; 40, 1<i<r, RK B 中 可 道 元 的 
个 数 为 (g 一 1)”. 
情形 1: 9 是 奇数 . 令 a 是 B 中 随机 选取 的 一 个 元 素 ,车 a 不 


FEM WC, H a 头 0, 那 么 计算 gcd (a, PEER f 的 一 个 真 因子 ， 
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而 a=0 的 概率 为 一 -圭一 一 
g-(q-1) 


元 , 且 až +1,0% s= at =(+1,-+,£1),BAHE gcd 
(s—1,f) , 便 得 到 f 的 一 个 真 因子 .由 a 的 随机 性 可 知 * But 1 也 


是 随机 的 , 故 ;= £1 的 概率 为 2/2r = 55. 


综合 上 述 ,我 们 便 得 到 一 个 概率 算法 , 且 出 钳 的 概率 < 
算法 1.5 


1 1 
<a S pai a aa 


输入 :g(xz)E€F,[xz] 是 若干 个 相同 次 数 的 不 可 约 多 项 式 的 乘 
积 
输出 :g(x ) 的 一 个 真 因子 
1. 求 ker (+ 一 1) 的 一 组 基 el ,…,e, 
2. 随 机 选取 a1,…,a,€ F, 
Q< 14; 
d(x)<-gcd (a,g) 
3. 若 0<deg d(x)<deg g(x), BE d(x) 
4. sa T 
d(x)<-gced (s -1,g)goto 3 
为 了 保证 此 算法 出 错 的 可 能 性 尽 可 能 小 ,我 们 可 以 重复 上 述 
情形 2: ¢ 是 偶数 ,可 以 得 到 类 似 的 结论 (习题 3). 


§A.4 Hensel 3| M 


Hensel 方法 的 思想 是 将 一 些 mod p 下 ( 即 在 域 F, 中 ) 的 结论 
提升 到 mod pr 下 ( 即 在 环 Z A( py) 中 ). 例 如 F(z)EZ[z], 且 已 知 
OSapSp-1 f(x) mod p 的 单 根 . 即 £(a9)=0 (mod PA 
F (a9) 0(mod p) ,如 果 寻 找 f(x) (mod 灵 ) 中 的 一 个 根 且 mod 
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旋 下 等 于 co, 用 多 项 式 的 Taylor 展开 
fla+y) = Rad Fada DOI 2 


设 要 求 的 根 为 co + aip+…+ac-ip” '(O<Sa;<p-1,151< 
e 一 1) ,那么 

flao + aip) = flao) + f (a0)aip(mod p°), 
求 得 


_ flao)/p 
ay = f (ao) (mod p). 


重复 上 述 过 程 即 可 求 出 az ,…，,a。 1, 写 出 具体 算法 (习题 4). 
Hensel 方法 还 能 用 于 求 多 项 式 的 分 解 ,我 们 用 算法 的 形式 来 
描述 它 . 
算法 1.6 


输入 ; 首 一 /EZ [xz],p 素数 ,e 正 整 数 , 首 一 多 项 式 5, 有 hE 
Fp[z] 使 得 f=g-h(mod p),H ged (g,h)=1 
输出 : 首 一 多 项 式 gGhEZ el x MERE f=g h (mod po g= 
(mod p),h=h(mod p) 
1. 用 广义 欧 几 里 得 算法 求 出 ,pwE FF,[z] 使 得 
Ag + ph = 1,dega < degh ,deg p< deg g 
2.9<-G,h<h 
3. For i=2 toe do {寻找 mod 产 的 分 解 
3.1 ae EFE | mod p 
3.2 ux-gp mod g 
3.3 < an mod h 
3.4 g<gt p` lu 
3.5h<h+ pi tv 
4. 返 回 (g,h) 、 
算法 的 正确 性 证 明 :由 递归 假设 f= gh (mod 六 -1), 所 以 
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(Se x, LB f, g,h 均 为 首 一 多 项 式 ,所 以 deg g< 


deg f, ME Flr] FA 
uh + vog = q, deg (uh + vg) = deg (q) < deg f. 
因此 
(g + prtuy(h + ptu) =gh + pi "(uh + vg) (mod f°) 
=gh t+ pi'+q=f. 
TER. 


§A.5 格 


RR 是 实数 集 ,R” An 维 欧 氏 空 间 ,R” 的 元 素 用 列 向 量 表 示 ， 
RR" 中 通常 内 积 : . 
(.):R" x R?—>R 
(x,y) => a'y 
此 内 积 定义 了 R” PHEE I-I: 
| - |} :R"-+R>SO 
rho (atx)? 
SAFI O x i? = zz) 是 双 线 性 型 ( ，) 所 伴随 的 正定 二 次 
型 . 

由 R” 中 的 一 组 R - 基 所 构成 的 一 个 n 维 自由 2Z - 模 信 称 作 R” 
的 一 个 格 (确切 地 称 ( 人 , 中, 站 ?) 为 Ra 的 一 个 格 ). 取 定 信 的 一 组 
BE won ,那么 

人 = Za, + … Zw, 
行列 式 的 绝对 值 ldet(w，， … wn ) | ERLE A 的 判别 式 .显然 这 和 格 基 
的 选择 无 关 , 记 作 d( A). 

一 般 地 ， 为 表述 方便 起 见 ， 以 后 内 积 (. ) 也 用 : 表示 , 即 xe y= 
a'y. HR” 中 的 任 一 组 线性 无 关 向 量 ww ,…,w , 均 可 对 其 正 交 化 ， 
得 到 一 组 正 交 基 wf ,…,w:* , 且 这 两 组 基 生 成 相同 的 线性 空间 . 
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我 们 把 Schmidt 正 交 化 过 程 总 结 在 下 列 引 理 中 
引 理 A.1 Aow, on 是 欧 几 里 得 空间 了 R" 的 一 组 基 , 归 纳 
定义 


其 中 Hi j T Wi" w [oj ou Aj <i<n). 那么 [wi lcin A 
R” 的 一 组 正 交 基 , 且 


i-1 
2 Raj = > Re} (2<i<n). 
=1 

特别 , 格 人 = =Zw +t set Zea, HAAR 


d(\) = it | oz | ACN) SI axl, 
证 明 这 是 容易 的 (习题 5) 
引 理 A.2(Hadamard 不 等 式 ) 令 A=(aj),xn 是 R 上 一 个 
n 阶 方 阵 ,那么 
ldet Al< at ( > lay |?)?. 


in 1S jin 


证 明 # A 是 奇异 矩阵 ， 结论 平凡 . 设 A ERRER, rw 
是 A 的 第 i 列 构 成 的 向 量 , 令 入 是 由 o1, o 生成 的 格 , 由 上 述 
性 质 知 


Idet A] = d(A)< < IT lo l= Jl (È igjen laa l? 2. 
证 毕 . 对 于 格 人 的 一 组 基 |2 anl, 定义 
Ilai, a,) = (X aia: | 0< Qa; < 1}, 
是 R" 中 的 一 个 平行 多 面体 ,用 e 表示 R” 上 的 Lebesgue 测量 , 那 
么 (al,…,a;) 的 “体积 ”py(H(al…,an))= qd( 信 )( 习 题 6), 显 然 
这 和 基 的 选取 无 关 的 . 
数论 的 一 个 分 支 “ 数 的 几何 ”中 一 个 最 重要 的 问题 就 是 在 一 个 
给 定 区 域 里 是 否 存 在 (进而 构造 出 ) 某 个 事先 给 定 的 格 中 的 非 零 向 
Æ. Minkowski 定理 是 这 一 方向 的 一 个 主要 结论 . 
定理 A.2(Minkowski) 设 人 是 R* 中 的 格 ,B 是 R* 中 一 个 
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可 测 的 关于 原点 对 称 ( 即 eo CBP -aeaeCBHHE 
("a BEB>F(a+ PEB), # x(B)S2d( A). M BNA? 
有 非 零 向 量 . 

证 明 参见 文献 [511. 

推论 A.1 一 定 存 在 一 个 常数 rn BAAR’ 中 的 任意 一 个 
格 人 ,存在 人 中 非 零 元 素 ,使 得 | z 1 2<rd( 人)*. 最 好 可 能 的 什 
r, 称 作 Hemite 常数 . 

证 明 构造 一 个 闭 区 域 B= {(a1 52, ER" |a? 2 


Se] ,其 中 “是 一 个 竺 定 的 正 实数 . 令 y, =e, B= sy) 


ly} + SL) ,那么 p(B)= [| pdayde, = 028, Hh 
3, = fef dyre 为 了 利用 Minkowski 定理 , RER c 充分 
大 ,满足 

u(B) = c .8 =2"d(A), 
EP c= rad AA h 7, =40,) .此 时 存在 0 关 zEBmnA, 使 


a i? <r A). 
HEE. 

一 个 格 人 有 许多 基 , 所 有 的 基 构 成 的 集合 为 By ,对 处 理 某 类 
问题 时 ,Bh 中 有 些 基 会 比 其 他 基 好 些 , 在 应 用 中 有 时 希望 基 是 由 
一 些 长 度 较 短 的 向 量 构成 .这 类 基 称 作 约 化 基 , 约 化 基 的 概念 很 早 
就 有 , 且 还 有 最 优 约 化 基 的 概念 ,如 Minkowski 约 化 基 是 在 BA 中 
按照 长 度 和 字典 式 构 成 的 偏 序 下 的 极 小 元 .但 遗憾 的 是 至 今 也 没 
有 找到 构造 这 类 约 化 基 的 多 项 式 时 间 算 法 (也 许 并 不 存在 !). 因此 
从 算法 的 角度 ,我们 要 在 约 化 基 和 构造 此 约 化 基 的 算法 之 间 来 个 
折 中 .1982 年 ,AK Lenstra, H W Lenstra #1 L Lovasz 给 出 了 一 种 
新 的 约 化 基 , 且 给 出 具体 约 化 过 程 . 

定义 A.1 一 组 基 wl,…,w, 称 作 13- 约 化 的 ,如 果 满 足 : 
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1 . . 
| pl <> 1<j<icn 


lot + miw l >F hol, 1<i<n 
定理 A.3 4 oor, on 是 格 人 的 一 组 工 - 约 化 基 , 那 么 
DaM IT), Nell <2 TAA); 
GIDEA A<j<i<n; 


(3) | w ll <2 4 aCA)”; 
(4) 对 人 中 任 一 线 性 无 关 向 量 组 Z15°° ,Xi, 一 定 有 


{n-1) 
leall <2 2 maxila lens ilait, Q<j<z). 


特别 ,对 人 中 任意 非 零 元 素 过 ,有 | os | <17 7 | x ||. 
证 明 因为 ws, o, Æ L - 约 化 的 ,显然 条 件 


Wot +p, 0% ot l?, 
等 价 于 
Not PF >(F- 2.4) Motil, 
故 | of >H ot ,| 2, 于 是 直接 可 得 
log PKZ ot adj. 


因为 w; = w + Sin i» Au 


ivi 


Joy? = hor + Dale P< ler (1+ 4(227)) 
j=l 
2i- l+ 1 . i- . 
=P tl ar PK or I, 


故 


aM <T ol < CP tof W) 


i=1 
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n 


i=l _ 
a nyo! 7) = ZT d(A). 


(1) 得 证 . 
由 (x ) 和 ( * * ) 知 
lo | <23 ot <2 or 
= 和 lw | 1<j<i<n. 
(2) 得 证 . 
令 (2) 式 j=1,i 取 记 1 到 ,得 
As n n(n-1) 
lo l*"<222T] ot | =2° 9 d(A), 
i=1 
即 
(n-1) 1 
lo, | <2 7 a. 
(3) 得 证 . 
B z = Dr € Z lai t. 因为 Tis”, Ly 线性 
j=1 
无 关 , 所 以 一 定 存在 i,1<&i<z Jot, E44 a;,;,70 且 Qi,j =0, 
j>jo IER}, Xi = D ai wj, H z 在 wr wy 表示 下 ,有 
Ti 二 D riw , ij ER, 
由 w; 和 的 关系 ,显然 "Li, Qi ， , 故 


sjo 
Jo 
al? =D lo Sr, og I? 
FT 
=a} log 12> lof |? 
1-; : . 
227 la lIi <t<jq, (HH(2)), 


jo-1 a-i a-i 
即 | oy I <2 7 I xy S22 Ul a; K2 max | ll 1 
Iz ll aE. 
在 给 出 格 基 约 化 算法 之 前 ,解释 一 下 该 算法 的 思想 ,假设 w ， 
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wns soy ELE LS - 约 化 了 ,初始 =2, 我 们 首先 需要 约 化 ms 
使 得 | 4， | 过 二 对 所 有 的 j < ,只 需 适当 选择 w, 用 wo - 
D aola E Z) 取代 ww 就 能 达到 目的 .具体 地 ,假设 |m ,| 过 


F lS j< kM q= 0.54 py, ERIE m RR, E o 


do BK wz , 设 变化 后 的 参数 AM 为 公交 显然 
{te L<i<k, 


Ani = , 
Hkg, iSl. 


故 |4,| 过 方 ,(1 一 1)<i<, 重 复 上 述 过 程 即 可 达到 目的 . 

& B= | wj I 2, 其 次 要 约 化 Wl Wn 满足 Lovasz 条 件 ， 
Bp 

Bi > 3 ~ 184-1 )Be-t- 

k 从 取 2 开始 ,车 Lovasz 条 件 满足 , 增加 1, 否 则 交换 oy, A 
on, H k 减 1, 因 为 此 时 只 知道 wi, w -24E L? - 约 化 的 . 

交换 -1 和 o 后 ,必须 观察 Bi ,wm ;的 变化 情况 , 设 交 换 后 
的 基 为 ais's an, BI ak-1 = We, ap = Oy -1,0; = w; li FR -1,h), 
FAC, ,hi 表示 对 应 wa， 的 B:s pijo EI, Aij = Mi; I< 
tk -> 2, Ap 1,5 = pj Àr j= Me-1,j IRR -2, BH 


天 一 2 天 一 2 
* — _ * — — * 
apy 7 @k-1 DD = WE HK; 
j=1 j=1 


x 
= we + Me p-1@e-1> 
Cyr = legal = ll wf ?+ Hie ll očal 


= B, + u4, 4-1Be-1. (1) 


* * 
A = Qk ° Qk-1 = Wp-1 * Qk-i 
k,k-1 Cr- Cr-1 
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一 发 k-10k-1Wk-1 — kiko 1Bz- 1 (2) 
Cy-1 Cz-1 


BD Ar -1Cr -1 = At-1B -1 是 个 不 变量 .又 因为 
天 一 上 
a, 一 ak 一 2 Ara 
Z 


It 


* * 
Wp-1 — Àk,k-1@k-1 一 2 pw) 
=1 


* 其 
= we-1 一 Àk,k-10k-1 
= we Àk, k-10 — Àr k-i -10i (由 (1) 式 ) 


x ie-1Be-1\ a 
=— Àk, k-10% + mS 4 Nets (FH (2) 式 ) 


k-1 


=— Àk k-10 tA 
Ga” 


= laž || = 22 B;? 
C: = |a; | = Ab, 2-1 By, + ar 
_ (Ag e-1Cy-1)°B, + By? By_1 
C-i 
_ 54-1 Bi1By + Bi Bp- 


(3) 


BD CC, -1 = BiB_1 又 是 一 个 不 变量 .对 i > 有 


其 * * 
CiQA-1 _ WWE 十 Hk p-1OWR-1 


Ài k-11 = 
i, k-1 Cı C 
_ Cwwr + Cpr iow 
B,By-1 
_~ Ci 
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C, B; Cr-1 一 Ki Be- 


1 
Ba Ga Ga = | — pk, k-1Àk,k-1 
- B,- - 
Calis 1 _ es l Apai 
因此 
Mi pl = AREAEL 十 《1 一 ALAR EL 
xi + ia 
aia = oes _ = -1 
k k 
Z Àr -1C aww + Biwiwg-i 
7 BeBi-1 
二 一 epik + Ki,g-l: 
即 
[rs] B |“ 1- peactha | eam 
àd L1 一 pl Hi,k 
-| nll 1 or] 
-Lo 1 1 = peel’ tg 


其 中 iskt, e,n, REED AMF L - 约 化 算法 . 
算法 1.7 (BD -算法 ) 


输入 : 格 人 的 一 组 基 w1,… ,ww ， 

输出 : 格 人 的 一 组 La - 约 化 基 

1. (初始 )o7 a1, By< || wf ||? 

2.( 正 交 化 )For i from 2 to n do 
2.1 wi <a; 


2.2 For j from 1 to (i~1) do 


* 
WW ; 
Oi * * x 
Bij ~ Boos Wi ~~ Wi ` fi, fo; 
了 


2.3 B;<-|w; | 
3. (WMG) k<2 
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4. 执 行 (* ) for J =k-1 
5.if B,< (3 - 182-1 )Be-s then goto (6) 
执行 (* )for L=k -2,k-3,-7 515 
if k=n then 终止 
k<«k+1 
goto (4) 
uur, -1 B4B; + p’ Br-1, eae 1 B/B, 
B- Br -1B/B , B-14 B, 


e- wk faa) a 
wk Wp] Pk, j k-1,j 
Hisk—1 -| Hs) 0 1 

Hi,k | 0 1 4 


ns 


if k>2 then &< -1, goto (4). 


nN 


,for j=1,…,k—2, 


+ 


Hi,k-1 
Ki,k 


| 


(*) if pws > then 

rel yr, tO0.5 1); ww ras 

Pej Bk, jT Te, j for j=1,2, ,1- l; 
Pk AL 了， 


由 算法 前 的 分 析 可 知 ,对 算法 的 正确 性 只 需 证 明 k 通过 有 限 


步 之 后 一 定 达 到 或 &<-k 一 1 的 步骤 只 有 有 限 步 , 即 交换 o- M 
wh 的 过 程 只 有 有 限 步 . 设 


di = ITB; = det (wo herse SiS N, 


1<j<i 


n-l 
D=|]d,>0. 
i=1 


显然 在 整个 算法 中 ,只 有 在 oA wi 交换 之 后 , 即 执行 算法 的 第 
6 步 后 才 会 变 D ,由 于 除 B 和 Bi_1 外 ,其 余 的 B; 不 会 发 生变 化 ， 
而 BB,- EPER. 因此 除 di -1 外 ,其 余 的 d; 不 会 变 . B,- WE 
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化 值 
3 
Cea = Be + pbaiBe < J Bei» 


故 每 次 执行 第 6 步 ,D E> wu A. 
S Li 是 由 wi,…,w; 构成 的 格 , S; = mini 上 yl21vE 工 由 
推论 A.1 可 知 
di > Siri’ > Sari. 
记 r=max [rl 1S: Sn] EAER, dj SSir-'=(S,/r)', D 


= - Í] di> (S,/r) "和 ， 即 DD 有 一 个 和 L 有 关 的 正常 数 作 为 下 
界 , 故 执行 第 6 步 只 4 有 可 能 是 有 限 次 . 


SA.6 Z[z] 中 多 项 式 的 分 解 


令 g(z)EZ[z] 是 整 系数 无 平方 因子 、 首 一 的 本 原 ( 系 数 互 
素 ) 多 项 式 ,&(9) 是 其 判别 式 , 选 取 素数 pld(g)(pld(g) 4AM 
当 9(z)(mod p) 有 重 根 ), 用 §A.3 中 g(x) (mod p) 的 分 解 算 
法 , 求 得 一 个 首 一 因子 h(x), 再 用 Hensel 引 理 ,将 天 (xz) 提 升 到 
9g(z) 在 Z 人 大 )[z] 中 的 一 个 首 一 因子 h(xz), 使 得 h(x)(mod p) 
= 有 h(xz), 人 允许 & 充分 大 ,由 此 去 判别 g(z) 在 Z[z] 中 是 否 有 不 可 
HAF ho(z), 使 得 ho(z)(mod p)= 有 (xz), 在 肯定 的 条 件 下 进 
一 步 去 构造 此 因子 . 

4 1=deg (h), m = deg (g), 对 每 个 LEN, ISIS m ,选择 
k 充分 大 ,使 得 

lm/2 


>2° 


2lo 
e lg it”, 
m 


其 中 上 gj rea “+97, 9(x) = San! 4 


={u(x) € Z[x]ldeg u(x) < FF celal) 
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(mod p*Z[x])}, 
定义 单 射 : 


o:L— got! 


fo 


Dust! > (aos , ur)’, 
显然 p( 工 ) 是 一 个 整 格 ( 即 存在 一 一 组 基 , 基 中 的 每 个 向 量 的 分 量 均 
是 整数 ) , 且 
pips |O<Si<l/-1 U {h(z)xe 0S Slo II) 
是 pg(L) 的 一 组 基 , 因 此 判别 式 d(o(L)) = p”. ARESA, 
获得 p( 工 ) 的 一 组 工 3 - 约 化 基 Wyss OY +1 
引 理 A.3 设 g(z) 在 ZL[z] 有 一 因子 ho(t), deg holy, A 
h(a) |Ao(c)% BRS 
wil < Gr/ g ym. 
进一步 ,在 上 述 条 件 成 立时 , 令 
t=maxlill<i< lot 1, lo; < GFZ g Il 0) , 
那么 
holt) = gcd (g! (w1), pw)), 且 degpo= lo+1-t. 
证 明 参见 文献 [28]. 
由 此 可 写 出 求 g(xz) 的 一 个 因子 的 算法 (习题 7). 
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